En 2017, un groupe de pirates appelé Shadow Brokers a publié en ligne une fuite de données baptisée “Lost in Translation”.
Ces données, qui auraient été obtenues auprès de la National Security Agency (NSA), contenaient une collection d’exploits et d’outils de piratage, notamment le désormais tristement célèbre EternalBlue, le code malveillant qui a été utilisé dans les épidémies de ransomware WannaCry, NotPetya et Bad Rabbit en 2017.
Cependant, parmi les données se trouvait un fichier nommé sigs.py, un véritable trésor de données provenant du renseignement sur les transmissions.
Ce fichier fonctionnait comme un scanner de programmes malveillants intégré que les opérateurs de la NSA utilisaient pour analyser les ordinateurs qu’ils infectaient, recherchant la présence d’autres APT (Advanced Persistent Threat ou menaces persistantes avancées), terme souvent utilisé pour décrire les groupes de piratage liés à des états.
Le script sigs.py incluait des signatures permettant de détecter 44 autres APT. Un bon nombre de ces signatures étaient inconnues du secteur de la cybersécurité au moment de la fuite en 2017, ce qui montre que la NSA avait une longueur d’avance sur le secteur privé. L’agence en était consciente et était capable de détecter et de suivre les opérations de nombreux groupes APT hostiles.
Cependant, dans un rapport publié le mois dernier, GReAT, l’unité de chasse au pirate informatique d’élite de Kaspersky, a déclaré avoir enfin réussi à identifier l’un de ces groupes APT mystérieux, à savoir le groupe traqué par la signature sigs.py n ° 27.
Selon Kaspersky, la signature n ° 27 permet d’identifier les fichiers qui font partie de “DarkUniverse”, un framework de programmes malveillants, ainsi qu’un nom désignant le groupe APT et ses activités.
Les chercheurs ont déclaré que le groupe DarkUniverse avait été actif de 2009 à 2017 et semblait faire profil bas après la fuite des ShadowBrokers. “La suspension de ses opérations pourrait être liée à la publication de la fuite” Lost in Translation “, ou bien les attaquants pourraient simplement avoir décidé de passer à des approches plus modernes et de commencer à utiliser des outils plus largement disponibles pour leurs opérations”, a déclaré l’équipe GReAT dans un article de blog détaillant le framework de malware DarkUniverse.
20 victimes identifiées à travers l’Afrique et l’Europe
La société affirme avoir retrouvé “une vingtaine de victimes géolocalisées en Syrie, en Iran, en Afghanistan, en Tanzanie, en Éthiopie, au Soudan, en Russie, au Bélarus et aux Émirats arabes unis”.
Parmi les victimes se trouvent des organisations civiles et militaires, telles que des institutions médicales, des organisations en lien avec l’énergie atomique, des organisations militaires et des entreprises de télécommunications.
Les experts de Kaspersky estiment toutefois que le nombre réel de victimes pourrait être beaucoup plus important, en raison du laps de temps écoulé et du manque de visibilité sur les opérations du groupe.
Kaspersky a constaté que le code des programmes malveillants de ItaDuke et des logiciels malveillants ItaDuke, qui cible les minorités chinoises ouïghoure et tibétaine, était similaire à celui de DarkUniverse.
Cependant, il n’est pas possible d’affirmer de façon sûre que le malware DarkUniverse est l’œuvre de pirates chinois. Davantage d’indices seront nécessaires en dehors de la simple correspondance du code de base : cela peut en effet être facilement manipulé par les acteurs pour brouiller les pistes et cela n’aurait rien d’inédit.
Ci-dessous, Kaspersky a listé toutes les fonctionnalités du framework malveillant DarkUniverse. Celui-ci se présente comme un trojan d’accès à distance typique disposant de fonctionnalités avancées selon Kaspersky.
Article Kaspersky identifies mysterious APT mentioned in 2017 Shadow Brokers leak traduit et adapté par ZDNet.fr
コメント