0

  • Votre panier est vide.

  • COMPTE

Un logiciel espion furtif d’une équipe de piratage informatique d’un groupe lié à la Chine

Certains articles de veille peuvent faire l'objet de traduction automatique.

Lors d’un piratage les outils secrets de l’organisation sont volés et jetés en ligne pour que quiconque puisse les récupérer et les réutiliser, les conséquences peuvent bouleverser le monde. Maintenant, une nouvelle découverte montre combien de temps ces effets peuvent persister. Cinq ans après que le célèbre entrepreneur d’espionnage Hacking Team ait eu son code divulgué en ligne, une version personnalisée de l’un de ses échantillons de logiciels espions les plus furtifs est apparue entre les mains de pirates probablement de langue chinoise.

Lors d’une version en ligne du Kaspersky Security Analyst Summit cette semaine, les chercheurs Mark Lechtik et Igor Kuznetsov prévoient de présenter leurs conclusions sur cet échantillon de malware mystérieux, qu’ils ont détecté sur les PC de deux des clients de Kaspersky plus tôt cette année.1 Le logiciel malveillant est particulièrement inhabituel – et dérangeant – car il est conçu pour modifier l’interface de micrologiciel extensible unifiée d’un ordinateur cible, le micrologiciel utilisé pour charger le système d’exploitation de l’ordinateur. Étant donné que l’UEFI se trouve sur une puce de la carte mère de l’ordinateur en dehors de son disque dur, les infections peuvent persister même si tout le disque dur d’un ordinateur est effacé ou si son système d’exploitation est réinstallé, ce qui rend la détection ou la désinfection beaucoup plus difficile que les logiciels malveillants normaux.

Le malware découvert par les chercheurs de Kaspersky utilise son implantation UEFI pour implanter un deuxième logiciel espion plus traditionnel sur le disque dur de l’ordinateur, un morceau de code unique que Kaspersky a appelé MosaicRegressor. Mais même si cette charge utile de deuxième étape est découverte et effacée, l’UEFI reste infectée et peut simplement la déployer à nouveau. «Même si vous retiriez le disque physique et le remplaçiez par un nouveau, le malware continuera de réapparaître», déclare Lechtik, qui travaille avec Kuznetsov en tant que chercheur au sein de l’équipe mondiale de recherche et d’analyse de Kaspersky. « Je pense donc qu’à ce jour, c’est la méthode la plus persistante pour avoir des logiciels malveillants sur votre appareil, c’est pourquoi il est si dangereux. »

Le nouveau malware UEFI est basé sur un outil de piratage connu sous le nom de VectorEDK, créé par Hacking Team, le fournisseur de piratage pour compte d’autrui basé en Italie. Hacking Team a été violé en 2015 par le hacktiviste connu sous le nom de Phineas Fisher, qui a volé et divulgué une vaste collection de courriels internes de l’entreprise ainsi que le code source de nombreux de ses outils de piratage, y compris VectorEDK. Cet outil, qui était destiné à être installé avec un accès physique à une machine cible, a maintenant été réutilisé, avec quelques personnalisations qui changent l’endroit où le malware UEFI place sa charge utile de malware secondaire sur le disque dur de la victime.

Kaspersky dit avoir trouvé le malware UEFI sur des PC utilisés par des cibles diplomatiques en Asie, mais a refusé d’en dire plus sur ces victimes, et il admet qu’il ne sait pas comment le malware UEFI est arrivé pour la première fois. Mais Kaspersky a découvert que la charge utile MosaicRegressor que le logiciel malveillant UEFI a ensuite implantée sur ces machines est également apparue sur les ordinateurs d’autres victimes dans le monde, y compris sur ceux de diplomates et du personnel d’ONG en Afrique, en Asie et en Europe, sur lesquels tous avaient travaillé. questions liées à la Corée du Nord, dit Kaspersky.

Certaines de ces instances de MosaicRegressor n’ont été livrées par aucun type de logiciel malveillant UEFI, mais avec des e-mails de phishing plus typiques en russe et en anglais qui contenaient des pièces jointes malveillantes se présentant comme des documents liés à la Corée du Nord. Cette charge utile de MosaicRegressor s’est présentée sous la forme d’un téléchargeur capable d’installer de nouveaux composants modulaires du malware à partir d’un serveur distant, et les chercheurs de Kaspersky affirment qu’ils n’ont pas pu obtenir la plupart de ces composants. Mais ils ont vu dans certains cas des signes indiquant que les pirates avaient appliqué la tactique d’espionnage typique consistant à collecter et compresser des fichiers pour les renvoyer vers un serveur qu’ils contrôlaient.

En ce qui concerne l’identité ou la nationalité des pirates informatiques derrière le nouveau malware UEFI, Kaspersky dit qu’il n’a trouvé que des indices clairsemés, aucun suffisamment définitif pour lier de manière concluante les pirates à un groupe connu. Mais les chercheurs notent plusieurs indices linguistiques dans le code des pirates: un qui indique qu’ils ont écrit en coréen ou en chinois, et un autre qui suggère plus clairement qu’ils ont écrit dans le chinois simplifié utilisé en Chine continentale. Kaspersky a également observé que les pirates informatiques semblent avoir utilisé un outil de création de documents appelé Royal Road, populaire parmi les pirates de langue chinoise.

Voir aussi :

octobre 6, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)