Infos

Détection du groupe APT Equation actif depuis 2001

Des experts de Kaspersky Lab ont annoncé qu’ils avaient découvert un groupe baptisé Equation dont les traces d’activité remontent jusqu’à 2001. Ce groupe utilise plusieurs plateformes malveillantes, plus complexes que la célèbre plateforme Regin. Il doit son nom à sa passion pour l’obfuscation et le chiffrement : il utilise les algorithmes RC4, RC5, RC6 et AES ainsi que quelques autres fonctions cryptographiques et de somme de contrôle.

Les chercheurs ont réussi à identifier la grande famille de plateformes malveillantes utilisées par le groupe Equation dans diverses périodes de son activité. Une des particularités du groupe réside dans l’utilisation de validateurs de plateforme spéciaux qui sont des malwares dont la fonction se résume à identifier les victimes avec précision. Les étapes suivantes de l’attaque sont déclenchées uniquement si le validateur confirme que l’ordinateur infecté est bien celui de la victime ciblée.

La plateforme d’espionnage principale baptisée EquationDrug par Kaspersky Lab a été développée dans le but d’obtenir un contrôle complet sur le système de la victime. Cette fonction peut être enrichie à l’aide de différents plug-ins : les chercheurs ont compté un total de 35 plug-ins pour EquationDrug ainsi que 18 pilotes.

La famille de malwares d’Equation contient également le ver Fanny qui se propage de manière inhabituelle via des clés USB et dont le rôle, selon toute vraisemblance, et de récolter des informations sur les réseaux qui ne sont pas connectés à Internet et qui se trouvent au Moyen-Orient et en Asie.

Quand une clé USB infectée est branchée sur un ordinateur, le ver infecte le poste à l’aide de divers codes d’exploitation, récolte des informations sur le système et les enregistre dans un secteur caché de la clé. Dès que cette clé est branchée sur un ordinateur qui a accès à Internet, le ver envoie toutes les informations obtenues au serveur de commande. La clé USB intervient également dans le mécanisme inverse dans le cadre duquel l’ordinateur infecté reçoit les instructions du centre de commande via la clé en question.

Les experts ont mis en évidence une particularité important de Fanny : pour pouvoir infecter le système, le ver utilise les mêmes vulnérabilités que celles exploitées par les premières versions de Stuxnet. Il les a d’ailleurs exploitées avant leur apparition dans Stuxnet. L’utilisation similaire de codes d’exploitation dans des malwares différents plus ou moins en même temps pourrait laisser penser que le groupe Equation et les développeurs de Stuxnet sont une seule et même organisation ou du moins, qu’ils entretiennent une coopération étroite.

Parmi les autres capacités pour le moins inhabituelles d’Equation, il faut citer la fonction de reprogrammation du micrologiciel du disque en vue d’accéder aux secteurs cachés. Grâce à cela, les malwares du groupe peuvent demeurer sur l’ordinateur, même après le reformatage du disque ou la réinstallation du système d’exploitation.

Les chercheurs n’ont pas encore réussi à identifier qui se cache derrière le groupe Equation. Ils ne disposent que d’indications indirectes sous la forme de mots clés détectés lors de l’analyse des modules : SKYHOOKCHOW, prkMtx, SF, UR, URInstall, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER, GROK, RMGREE5.

Le groupe travaille avec une extrême précision et n’infecte que des cibles soigneusement sélectionnées. Kaspersky Lab a réussi à s’emparer d’un des serveurs de commande d’Equation. Sur la base des informations ainsi obtenues et des informations de KSN, plus de 500 victimes réparties dans plus de 30 pays ont été identifiées. Des serveurs, des contrôleurs de domaine, des référentiels de données, des hébergeurs de site et d’autres types de serveur infectés ont été détectés. L’infection Equation possède un mécanisme d’auto-destruction, ce qui signifie que le nombre de victimes pourrait s’élever à plusieurs dizaines de milliers. Les experts ont également découvert que certains des ordinateurs sur lesquels les premiers échantillons de Stuxnet avaient été détectés ont également été infectés par Equation. On peut dès lors supposer que le malware du groupe Equation a été utilisé pour implanter Stuxnet.

La majorité des victimes d’Equation découvertes appartient aux secteurs suivants : organisations gouvernementales et diplomatiques, télécommunication, aérospatial, énergie, gaz et pétrole, transport, finances, complexe militaro-industriel, nanotechnologies, activistes et savants islamiques, mass média, sociétés spécialisées en physique nucléaire, développeurs de technologies de chiffrement.

Lien :        Securelist.com

Détection du groupe APT Equation actif depuis 2001

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception