L’éditeur de solutions antivirales Kaspersky a annoncé le 10 février dernier avoir découvert l’existence d’une nouvelle APT (Advanced Persistent Threat). Les premières traces de cette attaque remonteraient au moins à 7 ans.
Cet APT utilise plusieurs outils particulièrement sophistiqués : un malware, un rootkit, ainsi qu’un bootkit. Il cible les systèmes Windows, Mac OS X ainsi que Linux. Des éléments portent à croire que des systèmes mobiles tels que Android et iOS seraient aussi ciblés.
En terme de complexité, Kaspersky classe cette nouvelle APT devant Duqu. Il s’agit donc de l’une des menaces les plus avancées à l’heure actuelle. Avec un tel niveau de complexité, on peut supposer qu’il s’agit d’une opération étatique.
Le terme espagnol « Careto », qui a donné son nom à l’APT, est utilisé comme nom pour plusieurs modules. Il se traduit en français par « masque ».
Ce malware ciblerait principalement les agences gouvernementales, les bureaux diplomatiques, les ambassades, les instituts de recherche, les sociétés du secteur de l’énergie ainsi que d’autres industries. Les traces de ce malware auraient été retrouvées dans plus de 30 pays tels que la Chine, la France, l’Allemagne, le Royaume-Uni, ou encore les États-Unis. À ce jour, près de 380 victimes auraient été identifiées par l’éditeur.
Les outils utilisés permettraient de récupérer des clés de chiffrement, des clés SSH, des informations permettant d’accéder à un VPN ou à un accès RDP. Enfin, ces outils offriraient la possibilité de surveiller toutes les opérations réalisées sur les fichiers.
Le malware utilisé est capable de dérober des fichiers dont l’extension fait partie d’une liste d’une cinquantaine d’extensions de fichiers incluant bien entendu les documents Office. Cette liste inclut aussi des extensions inconnues de Kaspersky. Selon les chercheurs, il pourrait s’agir d’extension associée à des outils de chiffrements utilisés par certains gouvernements ou encore par des militaires.
Pour installer le malware sur le poste de leurs victimes, les pirates réaliseraient des attaques de type « Spear Phishing ». Lors d’une attaque de ce type, l’objectif de l’attaquant est de convaincre l’utilisateur de cliquer sur un lien afin de diriger la victime vers un site malveillant disposant de codes d’exploitation lui permettant de compromettre le système. Pour ce faire, les attaquants auraient construit des sites ressemblants fortement à des sites légitimes, tels que les sites du Guardian et du Washington Post.
Enfin, comme d’autres malwares, Mask est signé numériquement avec un certificat valide, appartenant à la société TecSystem. Cette particularité permet aux pirates de ne pas afficher d’avertissements de sécurité lors de son installation, et ainsi, de contourner le mécanisme de sécurité implémenté au sein du système d’exploitation.
Le rapport publié par Kaspersky est disponible à l’adresse suivante :
http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf