Se connecter
Inscription
Mot de passe perdu
Publié le 06/10/2015 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, le 6 octobre 2015 – Des experts de Kaspersky Lab chargés de surveiller les activités du groupe Winnti ont découvert une menace active basée sur un bootkit installer datant de 2006. Kaspersky Lab a baptisé la menace "HDRoot" en référence au nom d'origine "HDD Rootkit" de l'outil. Il s'agit d'une plate-forme universelle destinée à sévir de façon durable et persistante dans un système attaqué, qui peut être utilisé pour n'importe quel outil.
L'organisation criminelle Winnti est connue pour ses campagnes de cyber-espionnage industriel, axées sur les éditeurs de logiciels, principalement dans le secteur des jeux. Diverses observations récentes font apparaître que le groupe vise également des entreprises pharmaceutiques.
"HDRoot" a été découvert lorsqu'un exemplaire intrigant de malware a suscité l'intérêt du Global Research & Analysis Team (GReAT) de Kaspersky Lab. Les raisons de cet intérêt ont été les suivantes:
· Le code était protégé par un exécutable commercial VMProtect Win64, signé avec un certificat connu pour avoir été compromis. On sait à propos de ce certificat, appartenant à l'entité chinoise Guangzhou YuanLuo Technology, que le groupe Winnti a réussi à le détourner pour signer d'autres outils;
· Les propriétés et le texte d'affichage de l'exécutable ont été falsifiés pour le faire ressembler à une commande Microsoft Net net.exe, afin bien sûr de réduire le risque que des administrateurs de systèmes découvrent la nature malveillante du programme.
C'est ainsi que l'échantillon détecté a paru relativement suspect. Une analyse plus approfondie a démontré que le bootkit HDRoot est une plate-forme universelle destinée à sévir de façon durable et persistante dans un système. Elle peut être utilisée pour lancer n'importe quel autre outil. Les chercheurs de l'équipe GreAT sont parvenus à identifier deux types de portes dérobées (backdoors) qui étaient lancées à l'aide de cette plate-forme, et il pourrait y en avoir d'autres encore. Une de ces portes dérobées a été en mesure de contourner des produits antivirus réputés en Corée du Sud, notamment V3 Lite d'AhnLab, V3 365 Clinic d'AhnLab et ALYac d'ESTsoft. Winnti l'a donc exploitée pour lancer des malwares sur des cibles en Corée du Sud.
Selon des informations du Kaspersky Security Network, la Corée du Sud est la principale zone d'intérêt du groupe Winnti en Asie du Sud-Est; parmi les autres cibles dans cette région, il faut citer des organisations au Japon, en Chine, au Bangladesh et en Indonésie. Kaspersky Lab a également détecté des infections HDRoot dans une entreprise du Royaume-Uni et une autre en Russie. Toutes deux avaient précédemment été la cible du groupe Winnti.
"L'objectif principal de tout acteur APT est de rester caché sous les radars, pour se tapir dans l'ombre. C'est pourquoi nous voyons rarement des chiffrements de codes complexes car cela attirerait l'attention. Le groupe Winnti a pris un risque, vraisemblablement parce qu'il sait d'expérience quels sont les signaux qui doivent rester cachés et quels sont ceux qui peuvent être négligés du fait que les organisations n'appliquent pas toujours la meilleure politique de sécurité. Les administrateurs de systèmes doivent être partout sur la brèche et quand il s'agit d'une petite équipe, les chances qu'une activité cybercriminelle demeure inaperçue sont d'autant plus grandes", déclare Dmitry Tarakanov, Senior Security Researcher auprès de l'équipe GreAT chez Kaspersky Labs.
Le développement du HDD Rootkit est vraisemblablement l'œuvre d'une personne a rejoint le groupe Winnti lors de sa création. Kaspersky Lab pense que le groupe Winnti a été fondé en 2009 et qu'il n'existait donc pas encore en 2006. Cependant, il est également possible que Winnti ait utilisé des logiciels de tiers. Cet utilitaire et le code source sont peut-être disponibles sur l'un ou l'autre marché noir de cybercriminels en Chine ou ailleurs. La menace est toujours active. Depuis que Kaspersky Lab a commencé à accumuler des détections, le groupe à l'origine des attaques a réussi à les adapter : en moins d'un mois, on a déjà pu identifier une nouvelle modification.
Les produits de Kaspersky Lab bloquent le malware avec succès et protègent leurs utilisateurs contre cette menace.
L'organisation criminelle Winnti est connue pour ses campagnes de cyber-espionnage industriel, axées sur les éditeurs de logiciels, principalement dans le secteur des jeux. Diverses observations récentes font apparaître que le groupe vise également des entreprises pharmaceutiques.
"HDRoot" a été découvert lorsqu'un exemplaire intrigant de malware a suscité l'intérêt du Global Research & Analysis Team (GReAT) de Kaspersky Lab. Les raisons de cet intérêt ont été les suivantes:
· Le code était protégé par un exécutable commercial VMProtect Win64, signé avec un certificat connu pour avoir été compromis. On sait à propos de ce certificat, appartenant à l'entité chinoise Guangzhou YuanLuo Technology, que le groupe Winnti a réussi à le détourner pour signer d'autres outils;
· Les propriétés et le texte d'affichage de l'exécutable ont été falsifiés pour le faire ressembler à une commande Microsoft Net net.exe, afin bien sûr de réduire le risque que des administrateurs de systèmes découvrent la nature malveillante du programme.
C'est ainsi que l'échantillon détecté a paru relativement suspect. Une analyse plus approfondie a démontré que le bootkit HDRoot est une plate-forme universelle destinée à sévir de façon durable et persistante dans un système. Elle peut être utilisée pour lancer n'importe quel autre outil. Les chercheurs de l'équipe GreAT sont parvenus à identifier deux types de portes dérobées (backdoors) qui étaient lancées à l'aide de cette plate-forme, et il pourrait y en avoir d'autres encore. Une de ces portes dérobées a été en mesure de contourner des produits antivirus réputés en Corée du Sud, notamment V3 Lite d'AhnLab, V3 365 Clinic d'AhnLab et ALYac d'ESTsoft. Winnti l'a donc exploitée pour lancer des malwares sur des cibles en Corée du Sud.
Selon des informations du Kaspersky Security Network, la Corée du Sud est la principale zone d'intérêt du groupe Winnti en Asie du Sud-Est; parmi les autres cibles dans cette région, il faut citer des organisations au Japon, en Chine, au Bangladesh et en Indonésie. Kaspersky Lab a également détecté des infections HDRoot dans une entreprise du Royaume-Uni et une autre en Russie. Toutes deux avaient précédemment été la cible du groupe Winnti.
"L'objectif principal de tout acteur APT est de rester caché sous les radars, pour se tapir dans l'ombre. C'est pourquoi nous voyons rarement des chiffrements de codes complexes car cela attirerait l'attention. Le groupe Winnti a pris un risque, vraisemblablement parce qu'il sait d'expérience quels sont les signaux qui doivent rester cachés et quels sont ceux qui peuvent être négligés du fait que les organisations n'appliquent pas toujours la meilleure politique de sécurité. Les administrateurs de systèmes doivent être partout sur la brèche et quand il s'agit d'une petite équipe, les chances qu'une activité cybercriminelle demeure inaperçue sont d'autant plus grandes", déclare Dmitry Tarakanov, Senior Security Researcher auprès de l'équipe GreAT chez Kaspersky Labs.
Le développement du HDD Rootkit est vraisemblablement l'œuvre d'une personne a rejoint le groupe Winnti lors de sa création. Kaspersky Lab pense que le groupe Winnti a été fondé en 2009 et qu'il n'existait donc pas encore en 2006. Cependant, il est également possible que Winnti ait utilisé des logiciels de tiers. Cet utilitaire et le code source sont peut-être disponibles sur l'un ou l'autre marché noir de cybercriminels en Chine ou ailleurs. La menace est toujours active. Depuis que Kaspersky Lab a commencé à accumuler des détections, le groupe à l'origine des attaques a réussi à les adapter : en moins d'un mois, on a déjà pu identifier une nouvelle modification.
Les produits de Kaspersky Lab bloquent le malware avec succès et protègent leurs utilisateurs contre cette menace.
Plus d'articles dans cette catégorie
24/04/2024 @ 16:21:26
Poster un commentaire
Android
Mobile
Jeux Vidéos
Apple
Google
