MiniDuke : un troyen transmis par PDF et agissant via Twitter

le 01/03/2013, par Jacques Cheminat avec IDG News Service, Sécurité, 510 mots

Des chercheurs en sécurité ont identifié une campagne de cyberespionnage mondiale, qui utilise des backdoors capables de se connecter à des serveurs via Twitter.

MiniDuke : un troyen transmis par PDF et agissant via Twitter

C'est Kaspersky Lab et le Crysys (Cryptography and System Security) de l'Université d'économie et de technologie de Budapest qui ont découvert ce qui apparaît comme une campagne globale de cyberespionnage. Surnommée MiniDuke, cette opération utilise des courriels ciblés et basés sur des fichiers PDF utilisant une faille récemment corrigée d'Adobe Reader 9,10 et 11. Pour Constantin Raiu directeur de la recherche pour Kaspersky Lab « l'attaque utilise cette faille, avec quelques modifications avancées ».

Les PDF incriminés sont des copies malveillantes de rapports pour cibler certaines organisations. Exemples : une étude d'un séminaire informel Asie-Europe sur les droits de l'Homme, un rapport sur le plan d'action pour l'adhésion de l'Ukraine à l'OTAN, un document sur la politique étrangère de l'Ukraine, etc. Si le fichier est téléchargé, il installe un bout de malware chiffré, un backdoor identifiant spécifiquement la machine. Cette technique de signature cryptée unique est souvent utilisée dans le cadre de cyberespionnage et surtout pour éviter aux malwares d'être repérés. Cela signifie que « si le fichier est exécuté sur un autre ordinateur, le malware ne se déclenchera pas », souligne Constantin Raiu.

Un malware à l'ancienne mais qui se branche sur Twitter


MiniDuke a aussi quelques caractéristiques inhabituelles. D'une taille de 20 ko, le malware est programmé en assembleur, une méthode rarement utilisée par les hackers. Cette petite taille suggère à Constantin Riau, que les créateurs de cette attaque étaient de « la vieille école ». Autre spécificité, la communication avec les serveurs commande et contrôle passe par Twitter avec des messages incluant des URLs chiffrées. Ces sites sont hébergés aux Etats-Unis, Allemange, France et la Suisse. Ils peuvent envoyer à la machine des fichiers cryptés GIF qui contiennent un second backdoor. Ce dernier met à jour le premier malware et se connecte aux serveurs de commande et contrôle pour télécharger d'autres backdoors plus spécifiques en cas de repérage. Ainsi, sur une journée, Kaspersky a recensé 5 backdoors différents pour 5 victimes au Portugal, en Ukraine, en Allemagne et en Belgique. Pour les chercheurs, l'activité de MiniDuke remonte au moins à avril 2012, date à laquelle un des comptes Twitter a été créé.

Les victimes de MiniDuke...

Les victimes de MiniDuke sont assez diverses et surtout mondiales :  des sociétés, des administrations et des laboratoires de recherche en Belgique, Brésil, Bulgarie, République tchèque, Géorgie, Allemagne, Hongrie, Irlande, Israël, Japon, Lettonie, Liban, Lituanie, Monténégro, Portugal, Roumanie, Russie, Slovénie, Espagne, Turquie, Ukraine, Royaume-Uni et aux États-Unis. Constantin Riau concède que le niveau de l'attaque n'est pas aussi élevé que Stuxnet, mais il s'agit néanmoins d'une campagne importante. Si les chercheurs ont peu d'informations sur les personnes qui se cachent derrière cette attaque, ils ont identifié une signature 666 qui s'apparente à un groupe de hacker baptisé 29A (représentation hexadécimale de 666), apparemment disparu depuis 2008. D'autre part, les spéculations vont bon train sur le rôle de la Chine qui n'est pas dans la liste des victimes, mais les chercheurs estiment que MiniDuke est très élaboré par rapport aux attaques imputées à la Chine.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...