The Mask : Kaspersky aurait démasqué une menace sophistiquée sur le Web
Qui se cache derrière The Mask ? Kaspersky a décortiqué une menace malware qui sévit depuis 2007 visant à collecter des données sensibles au sein d’organisations stratégiques.
Kaspersky Lab a découvert une nouvelle cyber-menace appelée The Mask ou Careto. Il s’agirait en fait d’une arme sophistiquée visant à implanter secrètement des malware dans les systèmes IT de différentes organisations.
Kaspersky Lab affirme que The Mask serait opérationnel depuis au moins 2007. Depuis lors, les pirates sont parvenus à infiltrer secrètement les systèmes de près de 380 organisations réparties dans 31 pays (Moyen-Orient, Afrique, Amérique, Europe) sur plus d’un millier d’adresses IP : ambassades, compagnies pétrolières, laboratoires de recherche…
L’objectif principal de ces infiltrations serait de collecter différentes données privées sur les systèmes infectés (les OS mobiles et desktop peuvent être attaqués), notamment des documents de travail ou plus grave encore, des clés de chiffrement, les fichiers de configurations VPN, ou les fichiers DRP (qui servent à configurer le logiciel Remote Desktop Client permettant de contrôler un poste de travail à distance).
Un Etat pourrait tirer les ficelles de « The Mask »
Une campagne de cyber-espionnage trop complexe pour être le fruit du labeur de pirates indépendants, estime Costin Raiu, Directeur de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab.
« Plusieurs raisons nous amènent à penser que cette campagne pourrait être commanditée par certains Etats. Avant tout, nous avons observé un très haut degré de professionnalisme dans les procédures opérationnelles du groupe qui se cache derrière cette attaque, depuis la gestion des infrastructures, la clôture de l’opération, la dissimulation au moyen de règles d’accès et l’effacement du contenu des fichiers journaux au lieu de leur suppression. Tout cela contribue à rendre cette menace persistante avancée (APT) encore plus complexe que Duqu et à en faire l’une des menaces les plus évoluées du moment. »
Dans son communiqué, Kaspersky considère que le dispositif associe des exploits*, des malware, un rootkit, un bootkit, des versions Mac OS X et Linux et potentiellement des versions pour Android et iPad/iPhone (iOS). « The Mask a également utilisé une attaque spécialement conçue pour cibler les produits Kaspersky Lab », assure l’éditeur.
Signe particulier : les différents programmes nocifs ont été codés en espagnol. Un indice sur l’origine ou une manière de détourner l’attention ?
Fichier PDF sur Securelist.com : Unveiling “Careto” – The Masked APT
*Programmes malveillants conçus pour exploiter les faiblesses des logiciels légitimes
Quiz : Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?