Pour gérer vos consentements :

Cyberespionnage: Kaspersky et Symantec ont déniché des logiciels intrus furtifs

Choisissez ProjectSauron (référence au Seigneur des Anneaux) pour Kaspersky ou Strider/Remsec pour Symantec. Les deux éditeurs de solutions de sécurité ont enquêté chacun de leur côté sur des spyware probablement d’origine gouvernementale au regard du degré de sophistication nécessitant plusieurs millions de dollars. Ils viennent de publier quasi-simultanément des éléments de leurs investigations respectives.

Kaspersky a repéré le logiciel-espion ProjectSauron pour la première en septembre 2015, suite à la détection de trafic réseau anormal au sein d’une organisation cliente via un de ses produits de protection. Mais selon l’éditeur de solutions de sécurité IT russe, la menace, qui cible les systèmes Windows, est active depuis au moins depuis juin 2011. Une trentaine d’organisations ont été affectées par ProjectSauron ont été identifiées, principalement en Russie, en Iran, au Rwanda et peut-être des pays italophones.

Quant à l’Américain Symantec, il fait référence à un groupe de pirates Strider exploitant le malware Remsec (dans lequel on retrouve des bouts de code de ProjectSauron). L’outil furtif de cyber-espionnage aurait été activé à partir d’octobre 2011 (mais peut-être plus tôt)…Strider a touché des organisations et des individus en Russie, une compagnie aérienne en Chine, une « organisation » en Suède et une ambassade en Belgique.

Le point commun entre les deux outils spyware décortiqués semble donc leur vocation au cyberespionnage.

Techniques pointues et rares

Pour le cas de ProjectSauron (qui s’est nourri d’autres malware comme Duqu, Flame, Equation et Regin), Kaspersky évoque « une plateforme de cyber espionnage modulaire qui intègre des outils et des techniques uniques » qui cherche à accéder en priorité aux communications chiffrées.

« Ses implants et infrastructures s’adaptent spécifiquement à chaque cible, sans jamais être réutilisés », selon l’éditeur. Une technique d’empreinte unique qui rend la détection très compliquée.

Autre spécificité : son fonctionnement in-memory (fonctionnement en mémoire vive). Les principaux implants de ProjectSauron utilisent des scripts de mise à jour de logiciels légitimes et fonctionnent comme des backdoors (porte dérobée), téléchargeant de nouveaux modules ou lançant des commandes uniquement in-memory.

D’autres techniques montrent une expertise poussée comme l’utilisation de composants Lua (langage de scripts) dans des malware (« très rare » selon l’éditeur russe), l’usage de clés USB comportant des compartiments cachés dans lesquels sont dissimulées les données dérobées et des mécanismes d’exfiltration multiples des données, y compris des canaux légitimes comme la messagerie et le DNS. Impressionnante panoplie…

Il existe plusieurs caractéristiques techniques similaires dans les découvertes de Symantec autour du duo Strider/Remsec (décryptées dans une contribution), qui s’introduit à travers une porte dérobée d’un ordinateur infecté, capter ce qui est tapé sur un clavier, et voler les données.

Mais les deux éditeurs semblent avoir déniché deux outils sophistiqués d’espionnage. Pour le compte de qui ?

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago