{"id":14564,"date":"2020-04-02T10:02:37","date_gmt":"2020-04-02T10:02:37","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=14564"},"modified":"2020-04-02T10:02:37","modified_gmt":"2020-04-02T10:02:37","slug":"holy-water-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/holy-water-apt\/14564\/","title":{"rendered":"Les dangers de l&rsquo;APT Holy Water"},"content":{"rendered":"<p>Fin 2019, nos experts ont utilis\u00e9 la m\u00e9thode de l\u2019attaque par \u00ab\u00a0<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/watering-hole\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">point d\u2019eau\u00a0\u00bb<\/a> pour r\u00e9v\u00e9ler une attaque cibl\u00e9e. Les cybercriminels n\u2019ont pas eu besoin de d\u00e9ployer des techniques sophistiqu\u00e9es, ou d\u2019exploiter une vuln\u00e9rabilit\u00e9, pour infecter pendant au moins huit mois les dispositifs des utilisateurs qui se trouvaient en Asie. Tous les sites Internet utilis\u00e9s pour propager le malware abordaient le m\u00eame sujet et c\u2019est pourquoi cette attaque a \u00e9t\u00e9 baptis\u00e9e Holy Water (eau b\u00e9nite). Il s\u2019agit de la seconde attaque de ce type que nous avons d\u00e9tect\u00e9e ces derniers mois. Cliquez <a href=\"https:\/\/www.kaspersky.com\/blog\/lightspy-watering-hole-attack\/34501\/\" target=\"_blank\" rel=\"noopener nofollow\">ici<\/a> pour en savoir plus sur l\u2019autre d\u00e9couverte faite par nos chercheurs.<\/p>\n<h2>Comment la campagne Holy Water infecte-t-elle les dispositifs de l\u2019utilisateur ?<\/h2>\n<p>Il semblerait que les pirates informatiques aient, \u00e0 un moment donn\u00e9, mis en danger le serveur qui h\u00e9berge plusieurs pages Web de personnalit\u00e9s religieuses et d\u2019organismes publics et caritatifs. Les cybercriminels ont int\u00e9gr\u00e9 des scripts malveillants dans le code de ces pages puis ils les utilisaient pour perp\u00e9trer les attaques.<\/p>\n<p>Lorsque l\u2019utilisateur visitait une page infect\u00e9e, les scripts exploitaient des outils parfaitement l\u00e9gitimes pour obtenir des renseignements et les faire suivre \u00e0 un serveur tiers pour les valider. Nous ne savons pas combien de victimes ont \u00e9t\u00e9 s\u00e9lectionn\u00e9es mais, en r\u00e9ponse aux informations re\u00e7ues, si la cible \u00e9tait prometteuse, le serveur envoyait un ordre pour maintenir l\u2019attaque.<\/p>\n<p>L\u2019\u00e9tape suivante avait recours \u00e0 une astuce assez courante de nos jours (utilis\u00e9e depuis plus d\u2019une d\u00e9cennie) : on demandait \u00e0 l\u2019utilisateur de mettre \u00e0 jour Adobe Flash Player en pr\u00e9textant que la version actuelle du programme \u00e9tait soi-disant p\u00e9rim\u00e9e et vuln\u00e9rable. Si la victime acceptait, alors elle t\u00e9l\u00e9chargeait et installait sur son ordinateur la porte d\u00e9rob\u00e9e Godlike12, et non la mise \u00e0 jour promise.<\/p>\n<h2>Dangers de Godlike12<\/h2>\n<p>Les t\u00eates pensantes de cette attaque utilisaient activement certains services l\u00e9gitimes pour \u00e9tablir le profil des victimes et pour stocker le code malveillant (la porte d\u00e9rob\u00e9e \u00e9tait mentionn\u00e9e sur GitHub). Les communications avec les serveurs du centre de commandes (C&amp;C) passaient par Google Drive.<\/p>\n<p>La porte d\u00e9rob\u00e9e a d\u00e9pos\u00e9 un identifiant dans la solution de stockage Google Drive et a r\u00e9guli\u00e8rement pass\u00e9 des appels pour v\u00e9rifier qu\u2019elle recevait bien les ordres des cybercriminels. Les r\u00e9sultats de l\u2019ex\u00e9cution de ces actions \u00e9taient aussi t\u00e9l\u00e9charg\u00e9s \u00e0 cet endroit. Selon nos experts, il s\u2019agissait d\u2019une attaque de reconnaissance qui cherchait \u00e0 obtenir les donn\u00e9es des dispositifs infect\u00e9s.<\/p>\n<p>Si vous souhaitez obtenir plus de d\u00e9tails techniques et en savoir plus sur les outils utilis\u00e9s, nous vous invitons \u00e0 lire <a href=\"https:\/\/securelist.com\/holy-water-ongoing-targeted-water-holing-attack-in-asia\/96311\/\" target=\"_blank\" rel=\"noopener\">l\u2019article au sujet de Holy Water publi\u00e9 sur Securelist<\/a>. Vous y trouvez \u00e9galement les indicateurs de compromission.<\/p>\n<h2>Comment se prot\u00e9ger<\/h2>\n<p>Pour le moment, l\u2019attaque Holy Water n\u2019a \u00e9t\u00e9 d\u00e9tect\u00e9e qu\u2019en Asie. Pourtant, les outils utilis\u00e9s par cette campagne sont assez simples et peuvent \u00eatre d\u00e9ploy\u00e9s assez facilement dans n\u2019importe quel pays. Nous recommandons donc \u00e0 tous les utilisateurs de prendre ces recommandations au s\u00e9rieux, quel que soit l\u2019endroit o\u00f9 ils se trouvent.<\/p>\n<p>Nous ne sommes pas en mesure de dire si l\u2019attaque s\u2019en prend \u00e0 certaines personnes ou organisations en particulier. Une chose est s\u00fbre : n\u2019importe qui peut visiter les sites infect\u00e9s \u00e0 partir d\u2019un dispositif personnel ou professionnel. Nous vous conseillons fortement de prot\u00e9ger tous les dispositifs ayant acc\u00e8s \u00e0 Internet. Nous proposons des solutions de s\u00e9curit\u00e9 pour les ordinateurs <a href=\"https:\/\/www.kaspersky.fr\/plus?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kplus___\" target=\"_blank\" rel=\"noopener\">personnels<\/a> et <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">professionnels<\/a>. Nos produits d\u00e9tectent et bloquent tous les outils et techniques utilis\u00e9s par les cr\u00e9ateurs de la campagne Holy Water.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Les escrocs infectent les ordinateurs des utilisateurs gr\u00e2ce \u00e0 une porte d\u00e9rob\u00e9e qui se fait passer pour une mise \u00e0 jour de Adobe Flash Player.<\/p>\n","protected":false},"author":700,"featured_media":14571,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[498,499,3878],"class_list":{"0":"post-14564","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-attaque-ciblee","12":"tag-attaque-par-point-deau"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/holy-water-apt\/14564\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/holy-water-apt\/19986\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/holy-water-apt\/16266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/holy-water-apt\/21323\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/holy-water-apt\/19567\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/holy-water-apt\/18311\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/holy-water-apt\/22296\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/holy-water-apt\/21203\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/holy-water-apt\/27912\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/holy-water-apt\/8032\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/holy-water-apt\/34552\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/holy-water-apt\/14665\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/holy-water-apt\/13254\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/holy-water-apt\/23551\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/holy-water-apt\/25238\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/holy-water-apt\/21959\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/holy-water-apt\/27182\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/holy-water-apt\/27020\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=14564"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14564\/revisions"}],"predecessor-version":[{"id":14565,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14564\/revisions\/14565"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/14571"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=14564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=14564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=14564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}