{"id":3884,"date":"2014-11-10T17:26:03","date_gmt":"2014-11-10T17:26:03","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=3884"},"modified":"2020-02-26T15:50:19","modified_gmt":"2020-02-26T15:50:19","slug":"darkhotel-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/darkhotel-apt\/3884\/","title":{"rendered":"DarkHotel: une campagne d’espionnage dans de luxueux h\u00f4tels en Asie"},"content":{"rendered":"

Le cyberespionnage est l\u2019arme du 21\u00e8<\/sup>me<\/sup> si\u00e8cle. Il suffit d\u2019une simple application mobile pour avoir acc\u00e8s \u00e0 l\u2019intimit\u00e9 d\u2019un utilisateur n\u00e9gligeant, le tout \u00e0 l\u2019aide d\u2019une campagne d\u2019espionnage qui cible en particulier les cadres travaillant pour des multinationales ou pour des organisations gouvernementales.<\/p>\n

\"\"<\/p>\n

L\u2019actualit\u00e9 de cet automne c\u2019est la d\u00e9couverte d\u2019un r\u00e9seau espion par Kaspersky Lab, baptis\u00e9\u00a0\u00bbDarkhotel\u00a0\u00bb, qui fonctionne d\u00e9j\u00e0 depuis 7 ans dans plusieurs h\u00f4tels asiatiques. Et ce n\u2019est pas tout, un groupe d\u2019espions professionnels et plut\u00f4t malins impliqu\u00e9 dans les op\u00e9rations en cours, a mis au point plusieurs techniques pour infiltrer l\u2019ordinateur de ses victimes.<\/p>\n

C\u2019est en 2012 que le FBI fait r\u00e9f\u00e9rence pour la premi\u00e8re fois, \u00e0 des attaques contre plusieurs clients de ces h\u00f4tels en question. Cependant, le malware utilis\u00e9 pour les op\u00e9rations Darkhotel (alias Tapaoux) fait des apparitions sur la toile depuis 2007. Apr\u00e8s avoir \u00e9tudi\u00e9 les identifiants que les serveurs C&C ont utilis\u00e9 pour mener la campagne, les experts en s\u00e9curit\u00e9 informatique ont d\u00e9couvert que les connexions remontaient au 1er Janvier 2009. Apr\u00e8s tout ce que l\u2019on vient de dire, il semble que la campagne soit active depuis d\u00e9j\u00e0 bien longtemps.<\/p>\n

Il se trouve que la campagne #Darkhotel est active depuis 7 ans<\/p>Tweet<\/a><\/blockquote>\n

La principale m\u00e9thode utilis\u00e9e pour infiltrer l\u2019ordinateur des victimes est de passer par le r\u00e9seau Wi-Fi des h\u00f4tels de luxe asiatiques. Les cybercriminels ont utilis\u00e9 des vuln\u00e9rabilit\u00e9s jour z\u00e9ro sur Adobe Flash et sur d\u2019autres programmes c\u00e9l\u00e9bres. De telles vuln\u00e9rabilit\u00e9s ne sont pas faciles \u00e0 d\u00e9couvrir, ce qui signifie que cette campagne a \u00e9t\u00e9 men\u00e9e par de riches sponsors, qui peuvent se permettre d\u2019acheter des armes au prix fort<\/a>, soit par des professionnels de haut niveau. Probablement les deux.<\/p>\n

\"\"<\/p>\n

Bien qu\u2019elle ne soit pas la seule, la m\u00e9thode mentionn\u00e9e pr\u00e9c\u00e9demment, consistant \u00e0 installer des logiciels espions, est la plus utilis\u00e9e par les cybercriminels pour g\u00e9rer leurs attaques, ce qui \u00a0suppose qu\u2019elles auraient \u00e9t\u00e9 men\u00e9es par des employ\u00e9s de l\u2019h\u00f4tel. L\u2019autre technique possible est d\u2019inclure un Trojan distribu\u00e9 au travers de clients torrents comme une partie de fichier compromis d\u2019une BD pour adulte en chinois.<\/p>\n

Les cybersespions pratiquent aussi le hame\u00e7onnage cibl\u00e9,\u00a0 en envoyant des emails compromis \u00e0 des employ\u00e9s d\u2019organisations gouvernementales et \u00e0 but non lucratif.<\/p>\n

Les criminels sont pass\u00e9s par un keylogger sophistiqu\u00e9. Le logiciel espion utilise un module int\u00e9gr\u00e9 qui permet de subtiliser les mots de passe enregistr\u00e9s sur des navigateurs populaires.<\/div>\n

\u00a0<\/strong>En plus de l\u2019utilisation de la\u00a0 vuln\u00e9rabilit\u00e9 jour z\u00e9ro, il y a d\u2019autres actions qui prouvent le haut niveau de connaissances des cybercriminels impliqu\u00e9s dans la campagne. Ils sont all\u00e9 aussi loin que possible dans l\u2019\u00e9laboration de certificats de s\u00e9curit\u00e9 num\u00e9rique pour leurs malwares. Pour espionner les canaux de communication utilis\u00e9s par leurs victimes, les criminels sont pass\u00e9s par un keylogger sophistiqu\u00e9. Le logiciel espion utilise un module int\u00e9gr\u00e9 qui permet de subtiliser les mots de passe enregistr\u00e9s sur des navigateurs populaires.<\/p>\n

Bizarrement, les coupables ont \u00e9t\u00e9 tr\u00e8s prudents et ont \u00e9labor\u00e9 un ensemble de mesures pour pr\u00e9venir la d\u00e9tection du malware. D\u2019abord, ils se sont assur\u00e9 que la \u00ab\u00a0p\u00e9riode d\u2019incubation\u00a0\u00bb du virus ait \u00e9t\u00e9 assez longue\u00a0: le Trojan s\u2019est connect\u00e9\u00a0 pour la premi\u00e8re fois au serveur C&C 180 jours apr\u00e8s avoir infiltr\u00e9 le syst\u00e8me. Deuxi\u00e8mement, le logiciel espion contenait un protocole d\u2019autodestruction si jamais la langue du syst\u00e8me changeait au Cor\u00e9en.<\/p>\n

Les criminels lan\u00e7aient leurs attaques principalement au Japon, ainsi que dans des pays voisins tel que Taiwan ou la Chine. Cependant, Kaspersky Lab a r\u00e9ussi \u00e0 d\u00e9tecter des attaques dans d\u2019autres pays, dont certains tr\u00e8s \u00e9loign\u00e9s des territoires initialement vis\u00e9s par les attaquants.<\/p>\n