L’APT Careto aka The Mask démantelée par Kaspersky Lab !

11 Fév 2014

Un groupe de pirates qui serait soutenu par un gouvernement national inconnu, cible des agences gouvernementales, des ambassades, des bureaux diplomatiques et des sociétés énergétiques depuis plus de cinq ans. Pour les chercheurs de Kaspersky Lab, il s’agit de la menace persistante avancée (APT) la plus sophistiquée qu’ils aient vu à ce jour.

mask_apt

Celle-ci a été découverte hier au cours du Sommet des analystes en sécurité de Kaspersky Lab en République Dominicaine. La menace s’appelle « Careto », terme qui signifierait « visage laid » ou « masque » en espagnol, bien que les hispanophones ne semblent pas tous d’accord sur son sens.

Cette campagne est inquiétante car elle démontre clairement que les pirates doués continuent d’apprendre, qu’ils affinent leur travail, et qu’ils sont de plus en plus doués pour ce qui est d’infecter, d’espionner et de voler des cibles très spécifiques. Elle est également inquiétante parce que celle qu’on surnomme « The Mask » a réussi à se dissimuler et à intercepter des données depuis 2007. Selon Costin Raiu, le directeur de la Global research and Analysis team, si les pirates n’avaient pas essayé d’exploiter une vulnérabilité corrigée sur une ancienne version d’un produit Kaspersky Lab, les chercheurs ne l’auraient jamais trouvé.

« Exploiter les produits de Kaspersky Lab n’est vraiment pas malin », a déclaré Raiu dans sa présentation de The Mask.

« Exploiter les produits de Kaspersky Lab n’est vraiment pas malin », a déclaré Raiu dans sa présentation de The Mask.

Cependant, les campagnes APT aussi sophistiquées que celle-là sont généralement conçues pour infecter les machines d’individus qui ont accès à des réseaux très spécifiques, dans la plupart des cas il s’agit de ceux d’agences gouvernementales et de sociétés énergétiques. En d’autres termes, les pirates ne sont pas intéressés par une grande majorité des utilisateurs. Autre fait qui devrait vous rassurer : les responsables de cette campagne l’ont supprimée quelques heures après que l’équipe de Kaspersky Lab en a publié un aperçu.

Grâce à la pratique du « sinkholing », les chercheurs de Kaspersky Lab ont désintégré près de 90 des domaines de commande et de contrôle que les pirates utilisaient et Raiu a déclaré qu’après la publication du post, les opérateurs de The Mask avaient tout fermé en moins de quatre heures. La pratique du « sinkholing » permet aux chercheurs de regagner le contrôle du botnet ou de l’infrastructure de communication du malware ainsi que de rediriger le trafic des serveurs malveillants responsables de la campagne.

Néanmoins, Costin Raiu a déclaré que les pirates pouvaient ressusciter l’opération et revenir très rapidement sans aucun problème s’ils le souhaitent.

Mais la campagne est également importante pour d’autres raisons. Premièrement, elle ne semble pas avoir de connexion avec la Chine, un pays dont ce genre d’attaques est souvent originaire. Il est également intéressant de voir que les responsables de l’attaque semblent être hispanophones, un inédit pas si surprenant si l’on considère qu’il s’agit de la deuxième langue la plus parlée après le mandarin avec près de 400 millions d’hispanophones dans le monde. Les cibles de la campagne The Mask sont aussi majoritairement hispanophones mais elles se situent dans plus de 30 pays.

Le groupe disposerait dans son arsenal d’au moins un exploit zero-day ainsi que de versions du malware capables de cibler les machines Mac OS X, Linux, et peut-être même les mobiles iOS et Android.

En outre, le groupe disposerait dans son arsenal d’au moins un exploit zero-day ainsi que de versions du malware capables de cibler les machines Mac OS X, Linux, et peut-être même les mobiles iOS et Android. Selon Raiu, au moins une victime au Maroc disposait d’un appareil communiquant avec l’infrastructure C&C du malware sur un réseau mobile 3G.

« Ces gars sont plus forts que ceux de l’APT Flame à cause de la façon dont ils contrôlent leurs infrastructures », a déclaré Raiu. « Leur rapidité et leur professionnalisme est au delà de Flame et de tout ce que nous avons pu voir auparavant. »

Flame est une autre campagne découverte par les chercheurs de Kaspersky Lab en 2012. Elle ciblait les pays du Moyen-Orient et avait une manière très sophistiquée de générer des certificats numériques semblant venir directement de Microsoft.

Comme c’est souvent le cas, les pirates de The Mask ont ciblé leurs victimes grâce à des e-mails de phishing qui redirigeaient les utilisateurs vers des sites Web malveillants où les exploits étaient hébergés. Les sites étaient en fait remplis d’exploits et uniquement accessibles à travers les liens directs envoyés par les pirates aux victimes.

Raiu a déclaré que les pirates avaient un certain nombre d’outils à leur disposition, y compris des implants qui leur permettaient de rester sur les ordinateurs de leurs victimes, d’intercepter toutes les communications TCP et UDP (deux protocoles à travers lesquels les communications voyagent sur Internet) en temps réel et de rester invisible sur les machines compromises. Raiu a également affirmé que les communications entre les victimes et les serveurs C&C étaient chiffrées.