{"id":10092,"date":"2018-03-14T10:46:29","date_gmt":"2018-03-14T10:46:29","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10092"},"modified":"2019-11-22T09:00:21","modified_gmt":"2019-11-22T09:00:21","slug":"web-sas-2018-apt-announcement","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/web-sas-2018-apt-announcement\/10092\/","title":{"rendered":"L’APT Slingshot utilise un hardware cheval de Troie"},"content":{"rendered":"

Une des r\u00e9v\u00e9lations les plus int\u00e9ressantes pr\u00e9sent\u00e9es par nos chercheurs au Sommet des Analystes de S\u00e9curit\u00e9 Kaspersky (SAS)<\/a> de cette ann\u00e9e, est leur rapport sur une campagne tr\u00e8s sophistiqu\u00e9e de cyberespionnage. Dans le pass\u00e9, les pirates informatiques responsables de cette attaque ont cibl\u00e9 pour la plupart des individus dans le cadre d\u2019autres campagnes de cyberespionnage. Cependant, les entreprises peuvent tirer des le\u00e7ons de ce cas\u00a0: les cybercriminels peuvent adopter des techniques similaires et les utiliser contre les entreprises.<\/p>\n

Vecteur d\u2019attaque<\/h2>\n

Les voies d\u2019infection sont la premi\u00e8re chose \u00e0 comprendre. Ce vecteur d\u2019attaque initial est unique parce que, selon nos recherches, de nombreuses victimes ont \u00e9t\u00e9 attaqu\u00e9es apr\u00e8s avoir install\u00e9 des routeurs compromis fabriqu\u00e9s par MikroTik. Les agresseurs ont trouv\u00e9 comment compromettre ces appareils et les transformer en hardware cheval de Troie. Ils ont profit\u00e9 des utilitaires de configuration des routeurs pour t\u00e9l\u00e9charger et ex\u00e9cuter plusieurs fichiers DLL du routeur, dont un t\u00e9l\u00e9chargement de plusieurs fichiers malveillants qui ont \u00e9galement \u00e9t\u00e9 sauvegard\u00e9s sur le routeur.<\/p>\n

Nous devons pr\u00e9ciser que ce probl\u00e8me a \u00e9t\u00e9 communiqu\u00e9 au fabricant et que MikroTik a d\u00e9j\u00e0 r\u00e9gl\u00e9 le souci. Cependant, nos experts pensent que MikroTik n\u2019est pas la seule marque utilis\u00e9e par les acteurs de Slingshot. D\u2019autres appareils sont peut-\u00eatre compromis.<\/p>\n

Un autre aspect int\u00e9ressant de Slingshot est une astuce utilis\u00e9e pour ex\u00e9cuter le malware en mode noyau. Il \u00e9tait pratiquement impossible d\u2019utiliser cette m\u00e9thode sur les syst\u00e8mes d\u2019exploitation mis \u00e0 jour, par manque de vuln\u00e9rabilit\u00e9s, mais ce malware t\u00e9l\u00e9charge d\u2019abord les pilotes vuln\u00e9rables sign\u00e9s<\/em>, puis ex\u00e9cute son propre code.<\/p>\n

Instruments malveillants<\/h2>\n

Le malware \u00e9tait compos\u00e9 de deux chefs-d\u2019\u0153uvre\u00a0: un module en mode noyau appel\u00e9 Cahnadr, et un module en mode utilisateur, GollumApp.<\/p>\n

Lorsqu\u2019il est ex\u00e9cut\u00e9 en mode noyau, Cahnadr donne aux agresseurs un contr\u00f4le total, sans aucune limite, de l\u2019ordinateur infect\u00e9. De plus, \u00e0 l\u2019inverse de la plupart des malwares qui essaient de travailler en mode noyau, celui-ci peut ex\u00e9cuter un code sans planter le syst\u00e8me de fichiers ou provoquer un \u00e9cran bleu. Le second programme, GollumApp, est encore plus sophistiqu\u00e9. Il contient pr\u00e8s de 1500 fonctions code d\u2019utilisateur.<\/p>\n

Gr\u00e2ce \u00e0 ces modules, Slingshot peut recueillir les captures d\u2019\u00e9cran, les donn\u00e9es saisies au clavier, les donn\u00e9es de r\u00e9seau, les mots de passe, les autres activit\u00e9s du bureau, le presse-papiers et bien d\u2019autres. Tout cela sans exploiter les vuln\u00e9rabilit\u00e9s imm\u00e9diates. Au moins nos experts n\u2019ont pas trouv\u00e9 que Slingshot les utilisaient d\u00e9j\u00e0.<\/p>\n

M\u00e9canisme d\u2019anti-d\u00e9tection<\/h2>\n

Les nombreuses astuces utilis\u00e9es par ses acteurs pour \u00e9viter d\u2019\u00eatre d\u00e9tect\u00e9s rendent Slingshot particuli\u00e8rement dangereux. Il peut m\u00eame \u00e9teindre ses composants lorsqu\u2019il d\u00e9tecte des signes qui peuvent indiquer une recherche des autorit\u00e9s. De plus, Slingshot utilise son propre syst\u00e8me de fichier crypt\u00e9. Vous pouvez trouver plus d\u2019informations sur Slingshot en vous rendant sur Securelist.<\/p>\n

Comment s\u2019occuper des APT comme Slingshot<\/h2>\n

Si vous utilisez un routeur MikroTik et le logiciel de gestion WinBox, t\u00e9l\u00e9chargez la derni\u00e8re version du programme, et v\u00e9rifiez que le routeur a bien \u00e9t\u00e9 mis \u00e0 jour avec les derni\u00e8res versions du syst\u00e8me d\u2019exploitation. Cependant, les mises \u00e0 jour ne vous prot\u00e8gent que d\u2019un seul vecteur d\u2019attaque, pas de l\u2019APT.<\/p>\n

Vous devez mettre en place une approche strat\u00e9gique pour prot\u00e9ger votre entreprise des attaques cibl\u00e9es sophistiqu\u00e9es. Nous vous proposons la plateforme Threat Management and Defense. Cette plateforme comprend la plateforme Kaspersky Anti Targeted Attack, notre nouvelle solution Kaspersky Endpoint Detection and Response et des services d\u2019experts.<\/p>\n

Kaspersky Anti Targeted Attack vous permet de trouver les anomalies du trafic r\u00e9seau, d\u2019isoler les processus suspects, et de chercher des corr\u00e9lations entre les \u00e9v\u00e9nements. Kaspersky Endpoint Detection and Response permet de regrouper et de visualiser les donn\u00e9es recueillies. Gr\u00e2ce \u00e0 nos services d\u2019experts, vous pouvez obtenir de l\u2019aide \u00e0 n\u2019importe quel moment si vous rencontrez des incidents particuli\u00e8rement difficiles, former votre personnel du centre de contr\u00f4les ou sensibiliser l\u2019ensemble des employ\u00e9s de l\u2019entreprise. Vous pouvez trouver plus d\u2019informations sur cette solution ici<\/a>.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Nos experts analysent une des campagnes APT les plus sophistiqu\u00e9es <\/p>\n","protected":false},"author":700,"featured_media":10093,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3151],"tags":[2599,498,579,2803,2802,1220,602,2598,2801,2600],"class_list":{"0":"post-10092","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-thesas2018","10":"tag-apt","11":"tag-cyberespionnage","12":"tag-le-sas-2018","13":"tag-mode-noyau","14":"tag-routeurs","15":"tag-sas","16":"tag-sas-2018","17":"tag-slingshot","18":"tag-sommet-des-analystes-de-securite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/web-sas-2018-apt-announcement\/10092\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/10558\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/14870\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/web-sas-2018-apt-announcement\/13188\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/12615\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/web-sas-2018-apt-announcement\/15499\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/21507\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/web-sas-2018-apt-announcement\/16078\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/web-sas-2018-apt-announcement\/19784\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/web-sas-2018-apt-announcement\/19810\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10092","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=10092"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10092\/revisions"}],"predecessor-version":[{"id":12840,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10092\/revisions\/12840"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/10093"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=10092"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=10092"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=10092"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}