Un groupe de pirates qui serait soutenu par un gouvernement national inconnu, cible des agences gouvernementales, des ambassades, des bureaux diplomatiques et des soci\u00e9t\u00e9s \u00e9nerg\u00e9tiques depuis plus de cinq ans. Pour les chercheurs de Kaspersky Lab, il s’agit de la menace persistante avanc\u00e9e (APT) la plus sophistiqu\u00e9e qu’ils aient vu \u00e0 ce jour.<\/p>\n
\n
Celle-ci a \u00e9t\u00e9 d\u00e9couverte hier au cours du Sommet des analystes en s\u00e9curit\u00e9 de Kaspersky Lab en R\u00e9publique Dominicaine. La menace s’appelle « Careto », terme qui signifierait « visage laid » ou « masque » en espagnol, bien que les hispanophones ne semblent pas tous d’accord sur son sens.<\/p>\n
Cette campagne est inqui\u00e9tante car elle d\u00e9montre clairement que les pirates dou\u00e9s continuent d’apprendre, qu’ils affinent leur travail, et qu’ils sont de plus en plus dou\u00e9s pour ce qui est d’infecter, d’espionner et de voler des cibles tr\u00e8s sp\u00e9cifiques. Elle est \u00e9galement inqui\u00e9tante parce que celle qu’on surnomme « The Mask » a r\u00e9ussi \u00e0 se dissimuler et \u00e0 intercepter des donn\u00e9es depuis 2007. Selon Costin Raiu, le directeur de la Global research and Analysis team, si les pirates n’avaient pas essay\u00e9 d’exploiter une vuln\u00e9rabilit\u00e9 corrig\u00e9e sur une ancienne version d’un produit Kaspersky Lab, les chercheurs ne l’auraient jamais trouv\u00e9.<\/p>\n
« Exploiter les produits de Kaspersky Lab n’est vraiment pas malin », a d\u00e9clar\u00e9 Raiu dans sa pr\u00e9sentation de The Mask.<\/p>\n
Cependant, les campagnes APT aussi sophistiqu\u00e9es que celle-l\u00e0 sont g\u00e9n\u00e9ralement con\u00e7ues pour infecter les machines d’individus qui ont acc\u00e8s \u00e0 des r\u00e9seaux tr\u00e8s sp\u00e9cifiques, dans la plupart des cas il s’agit de ceux d’agences gouvernementales et de soci\u00e9t\u00e9s \u00e9nerg\u00e9tiques. En d’autres termes, les pirates ne sont pas int\u00e9ress\u00e9s par une grande majorit\u00e9 des utilisateurs. Autre fait qui devrait vous rassurer : les responsables de cette campagne l’ont supprim\u00e9e quelques heures apr\u00e8s que l’\u00e9quipe de Kaspersky Lab en a publi\u00e9 un aper\u00e7u.<\/p>\n
Gr\u00e2ce \u00e0 la pratique du « sinkholing », les chercheurs de Kaspersky Lab ont d\u00e9sint\u00e9gr\u00e9 pr\u00e8s de 90 des domaines de commande et de contr\u00f4le que les pirates utilisaient et Raiu a d\u00e9clar\u00e9 qu’apr\u00e8s la publication du post, les op\u00e9rateurs de The Mask avaient tout ferm\u00e9 en moins de quatre heures. La pratique du « sinkholing » permet aux chercheurs de regagner le contr\u00f4le du botnet ou de l’infrastructure de communication du malware ainsi que de rediriger le trafic des serveurs malveillants responsables de la campagne.<\/p>\n
N\u00e9anmoins, Costin Raiu a d\u00e9clar\u00e9 que les pirates pouvaient ressusciter l’op\u00e9ration et revenir tr\u00e8s rapidement sans aucun probl\u00e8me s’ils le souhaitent.<\/p>\n
Mais la campagne est \u00e9galement importante pour d’autres raisons. Premi\u00e8rement, elle ne semble pas avoir de connexion avec la Chine, un pays dont ce genre d’attaques est souvent originaire. Il est \u00e9galement int\u00e9ressant de voir que les responsables de l’attaque semblent \u00eatre hispanophones, un in\u00e9dit pas si surprenant si l’on consid\u00e8re qu’il s’agit de la deuxi\u00e8me langue la plus parl\u00e9e apr\u00e8s le mandarin avec pr\u00e8s de 400 millions d’hispanophones dans le monde. Les cibles de la campagne The Mask sont aussi majoritairement hispanophones mais elles se situent dans plus de 30 pays.<\/p>\n
En outre, le groupe disposerait dans son arsenal d’au moins un exploit zero-day ainsi que de versions du malware capables de cibler les machines Mac OS X, Linux, et peut-\u00eatre m\u00eame les mobiles iOS et Android. Selon Raiu, au moins une victime au Maroc disposait d’un appareil communiquant avec l’infrastructure C&C du malware sur un r\u00e9seau mobile 3G.<\/p>\n
« Ces gars sont plus forts que ceux de l’APT Flame \u00e0 cause de la fa\u00e7on dont ils contr\u00f4lent leurs infrastructures », a d\u00e9clar\u00e9 Raiu. « Leur rapidit\u00e9 et leur professionnalisme est au del\u00e0 de Flame et de tout ce que nous avons pu voir auparavant. »<\/p>\n
Flame est une autre campagne d\u00e9couverte par les chercheurs de Kaspersky Lab en 2012. Elle ciblait les pays du Moyen-Orient et avait une mani\u00e8re tr\u00e8s sophistiqu\u00e9e de g\u00e9n\u00e9rer des certificats num\u00e9riques semblant venir directement de Microsoft.<\/p>\n
Comme c’est souvent le cas, les pirates de The Mask ont cibl\u00e9 leurs victimes gr\u00e2ce \u00e0 des e-mails de phishing qui redirigeaient les utilisateurs vers des sites Web malveillants o\u00f9 les exploits \u00e9taient h\u00e9berg\u00e9s. Les sites \u00e9taient en fait remplis d’exploits et uniquement accessibles \u00e0 travers les liens directs envoy\u00e9s par les pirates aux victimes.<\/p>\n
Raiu a d\u00e9clar\u00e9 que les pirates avaient un certain nombre d’outils \u00e0 leur disposition, y compris des implants qui leur permettaient de rester sur les ordinateurs de leurs victimes, d’intercepter toutes les communications TCP et UDP (deux protocoles \u00e0 travers lesquels les communications voyagent sur Internet) en temps r\u00e9el et de rester invisible sur les machines compromises. Raiu a \u00e9galement affirm\u00e9 que les communications entre les victimes et les serveurs C&C \u00e9taient chiffr\u00e9es.<\/p>\n","protected":false},"excerpt":{"rendered":"
Un groupe de pirates qui serait soutenu par un gouvernement national inconnu, cible des agences gouvernementales, des ambassades, des bureaux diplomatiques et des soci\u00e9t\u00e9s \u00e9nerg\u00e9tiques depuis plus de cinq ans.<\/p>\n","protected":false},"author":235,"featured_media":2423,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[498,578,579,217,155,577],"class_list":{"0":"post-2422","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-apt","10":"tag-careto","11":"tag-cyberespionnage","12":"tag-kaspersky","13":"tag-malware-2","14":"tag-the-mask"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lapt-careto-aka-the-mask-demantelee-par-kaspersky-lab\/2422\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2422","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/235"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=2422"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2422\/revisions"}],"predecessor-version":[{"id":13356,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2422\/revisions\/13356"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/2423"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=2422"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=2422"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=2422"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}