Vaste offensive de cyber-espionnage dans une centaine pays dévoilée

le 21/05/2013, par Jean Elyan avec IDG News Service, Sécurité, 591 mots

Selon Trend Micro, les attaques liées à cette campagne ont permis d'infecter des ordinateurs appartenant à des entreprises, des gouvernements et d'autres organisations dans plus d'une centaine de pays à travers le monde.

Vaste offensive de cyber-espionnage dans une centaine pays dévoilée

Les chercheurs en sécurité de Trend Micro ont découvert l'existence d'une opération de cyber espionnage toujours active qui a, jusqu'ici, compromis des ordinateurs appartenant à des ministères, des entreprises de technologie, des médias, des institutions de recherche universitaires et des organisations non gouvernementales de plus de 100 pays. L'opération, baptisée Safe par Trend Micro, utilise le phishing pour piéger des victimes potentielles avec des e-mails accompagnés de pièces jointes malveillantes. Les chercheurs de l'entreprise de sécurité ont décortiqué le fonctionnement de l'opération et publié leurs conclusions dans un document.

Leur enquête révèle que l'opération s'appuie sur deux groupes de serveurs de commande et de contrôle (C&C) qui servent, semble-t-il, à mener deux campagnes d'attaques distinctes avec des objectifs différents, mais diffusant le même malware. Dans la première campagne de phishing, les emails, dont l'objet concerne le Tibet et la Mongolie, sont accompagnés d'une pièce jointe en .doc qui exploite une vulnérabilité de Word corrigée par Microsoft en avril 2012. Selon les logs recueillis par Trend Micro sur les serveurs C&C, 243 ordinateurs - chacun a une adresse IP unique - de 11 pays différents ont été infectés. Cependant, les chercheurs ont constaté que seules trois adresses IP, localisées en Mongolie et au Sud-Soudan, étaient encore actives au moment de l'enquête.

L'Inde et les Etats-Unis en tête des victimes


Les logs des serveurs C&C utilisés pour la seconde campagne d'attaque ont permis de comptabiliser 11 563 adresses IP uniques dans 116 pays différents. Mais, selon les chercheurs de Trend Micro, le nombre réel de victimes est probablement beaucoup plus faible. « En moyenne, 71 victimes ont activement communiqué à un moment donné avec ces serveurs de commande et de contrôle au cours de l'enquête », ont-ils déclaré. Les emails utilisés pour cette seconde série d'attaques n'ont pas été identifiés, mais la campagne semble avoir eu une plus grande portée et les victimes sont plus dispersées géographiquement. Les cinq premiers pays en nombre de victimes sont l'Inde, les États-Unis, la Chine, le Pakistan, les Philippines et la Russie.

Le malware installé sur les ordinateurs infectés est principalement destiné à voler des informations, mais son action peut être étendue avec des modules supplémentaires. Les chercheurs ont ainsi trouvé sur les serveurs de commande et de contrôle des composants particuliers sous forme de plug-in, et des programmes prêts à l'emploi pouvant servir à extraire les mots de passe enregistrés dans Internet Explorer et Firefox de Mozilla, ainsi que des informations d'identification du Remote Desktop Protocol stockées dans Windows. « Il est toujours difficile de connaître les intentions et l'identité des assaillants. Cependant, nous pouvons dire que les logiciels malveillants de la campagne Safe ont été mis au point par un ingénieur en logiciel professionnel et qu'il est peut être lié à des groupes cybercriminels localisés en Chine », peut-on lire dans le document publié par les chercheurs de Trend Micro qui ajoutent : « L'individu a été formé dans une université de technologie de premier plan de ce même pays et semble avoir eu accès au référentiel de code source d'une société de services Internet ».

Les adresses IP qui servent à communiquer avec les serveurs de C&C ont été localisées dans plusieurs pays, mais essentiellement en Chine et à Hong Kong, comme le font remarquer les chercheurs. « Les attaques utilisent aussi le VPN et des outils de proxy, comme Tor, qui expliquent la diversité géographique des adresses IP ».

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...