• Votre panier est vide.

  • COMPTE

Un malware sournois « Tardigrade » frappe les installations de bioproduction


Certains articles de veille peuvent faire l'objet de traduction automatique.


Quand le ransomware a frappé une installation de biofabrication ce printemps, quelque chose n’allait pas avec l’équipe d’intervention. Les attaquants n’ont laissé qu’une demande de rançon sans conviction et ne semblaient pas vraiment intéressés à percevoir un paiement. Ensuite, il y avait le malware qu’ils avaient utilisé : une souche incroyablement sophistiquée surnommée Tardigrade.

Alors que les chercheurs de la société biomédicale et de cybersécurité BioBright approfondissaient leurs recherches, ils ont découvert que Tardigrade faisait plus que simplement verrouiller les ordinateurs dans l’ensemble de l’établissement. Ils ont découvert que le malware pouvait s’adapter à son environnement, se cacher et même fonctionner de manière autonome lorsqu’il était coupé de son serveur de commande et de contrôle. C’était quelque chose de nouveau.

Aujourd’hui, le centre de partage et d’analyse d’informations sur la bioéconomie à but non lucratif de cybersécurité, ou BIO-ISAC, dont BioBright est membre, divulgue publiquement résultats à propos de Tardigrade. Bien qu’ils ne fassent pas d’attribution quant à l’auteur du malware, ils disent que sa sophistication et d’autres indices médico-légaux numériques indiquent un groupe de « menaces persistantes avancées » bien financés et motivés. De plus, disent-ils, le malware se « propage activement » dans l’industrie de la bioproduction.

« Cela a presque certainement commencé avec l’espionnage, mais cela a touché tout : perturbation, destruction, espionnage, tout ce qui précède », a déclaré Charles Fracchia, PDG de BioBright. « C’est de loin le malware le plus sophistiqué que nous ayons vu dans cet espace. Cela ressemble étrangement à d’autres attaques et campagnes d’APT d’États-nations ciblant d’autres industries.

Alors que le monde se démène pour développer, produire et distribuer des vaccins et des médicaments de pointe pour lutter contre la pandémie de Covid-19, l’importance de la bioproduction a été mise en évidence. Fracchia a refusé de dire si les victimes effectuaient un travail lié à Covid-19, mais a souligné que leurs processus jouaient un rôle essentiel.

Les chercheurs ont découvert que Tardigrade ressemblait un peu à un logiciel de téléchargement de logiciels malveillants connu sous le nom de Smoke Loader. Également connu sous le nom de Dofoil, l’outil a été utilisé pour distribuer des charges utiles de logiciels malveillants depuis au moins 2011 ou plus tôt, et est facilement disponible sur les forums criminels. En 2018, Microsoft bloqué une grande campagne de minage de crypto-monnaie qui a utilisé Smoke Loader et la société de sécurité Résultats publiés par Proofpoint en juillet à propos d’une attaque de vol de données qui a déguisé le téléchargeur en un outil de confidentialité légitime pour inciter les victimes à l’installer. Les attaquants peuvent adapter les fonctionnalités du malware avec un assortiment de plug-ins prêts à l’emploi, et il est connu pour utiliser des astuces techniques astucieuses pour se cacher.

Les chercheurs de BioBright affirment que malgré les similitudes avec Smoke Loader, Tardigrade semble être plus avancé et offre un éventail élargi d’options de personnalisation. Il ajoute également la fonctionnalité d’un cheval de Troie, ce qui signifie qu’une fois installé sur un réseau victime, il recherche les mots de passe stockés, déploie un enregistreur de frappe, commence à exfiltrer des données et établit une porte dérobée permettant aux attaquants de choisir leur propre aventure.

« Ce malware est conçu pour se construire différemment dans différents environnements, de sorte que la signature change constamment et qu’elle est plus difficile à détecter », explique Callie Churchwell, analyste de malware chez BioBright. « Je l’ai testé près de 100 fois et à chaque fois, il s’est construit d’une manière différente et a communiqué différemment. De plus, s’il n’est pas capable de communiquer avec le serveur de commande et de contrôle, il a la capacité d’être plus autonome et autosuffisant, ce qui était complètement inattendu.

Voir aussi :

novembre 23, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)