Plus de 140 organisations touchées par des attaques invisibles

0

À l’aide d’un malware invisible, des cyber-criminels ont réussi a infiltré plus de 140 entreprises et agences gouvernementales à travers le monde. Avertis par des banques qui ont trouvé une porte dérobée Meterpreter dans la mémoire de leurs serveurs, ils se sont aperçus que des attaques «invisibles» pour infiltrer les réseaux d’entreprises ont eu lieu dans plus de 40 pays du monde, dont la France. Ils ont ainsi voler des informations de connexion et les données financières.

Pour ce faire, ils ont utilisé la technique In Memory des logiciels légitimes comme Powershell de Windows que permet de masquer les logiciels malveillants et de les cacher en mémoire. Ainsi, aucun fichier n’est modifié ou installé sur le disque dur et les cybercriminels ont la possibilité d’attaquer à des banques et des sociétés de télécommunications, sans laisser de traces. « Les attaquants à l’origine de ce type d’attaque exploitent principalement des logiciels tout à fait légitimes : des outils de pentesting type Meterpreter, ou encore le framework Powershell fourni par Windows. Concrètement, aucun malware n’est installé sur le disque et le code malveillant réside in memory, ce qui rend ce type d’attaque particulièrement difficile à détecter » explique Vicente Diaz, Principal Security Analyst chez Kaspersky Lab.

« Dans ces incidents, les attaquants ont utilisé toutes les techniques anti-investigations possibles et imaginables, faisant la démonstration qu’aucun fichier malveillant n’est nécessaire pour exfiltrer avec succès des données d’un réseau et que l’emploi d’outils légitimes et open source rend une attribution quasi impossible », ajoute Sergey Golovanov, chercheur principal en sécurité chez Kaspersky Lab.

Avec ce malware invisible, toute indication qu’un incident ait eu lieu est supprimée lorsque le système est redémarré. Les cyber-criminels ont néanmoins le temps pour accéder aux informations souhaitées.

Plus de 40 infections dans différents pays

Kaspery Lab

Les chercheurs de Kaspersky Lab estiment que les cyber-criminels ont collecté des données financières et des informations de connexion de plus de 140 entreprises, notamment dans les banques, les télécommunications et les organisations gouvernementales. Parmi eux, la France pourrait compter environ 10 victimes selon Kaspersky. Pour le moment, on ignore encore qui se cache derrière ces attaques mais, les attaques d’espionnage sont souvent le fait de groupes structurés.

« Pour l’instant, nous ne sommes pas en mesure de déterminer s’il s’agit d’un groupe spécifique ou de plusieurs. Mais la technique nous a paru intéressante et c’est ce que nous souhaitons mettre en avant ici » assure Diaz. « Ce n’est pas la première fois que nous voyons ce type de technique mis en œuvre. Mais c’est la première fois que nous constatons son utilisation contre de réelles victimes, à plusieurs reprises. Cela pourrait être l’œuvre d’un groupe ou de plusieurs, nous ne savons pas encore » poursuit.

De fait, il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’espionnage, l’objectif de l’attaquant étant de maintenir discrètement son accès le plus longtemps possible afin de capter l’information stratégique en temps voulu.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply