L’éditeur Kaspersky vient de consacrer une publication à ce qu’il décrit comme la campagne de type malware la plus élaborée jamais vue. Nommée « Mask », traduction du mot espagnol « Careto », elle supplanterait par sa complexité d’autres campagnes qui avaient largement fait parler d’elles, telles que Flame et Stuxnet.
Une attaque qui durait depuis plus de cinq ans
Selon l’éditeur russe Kaspersky, Mask marquera les esprits par la grande complexité de sa mise en œuvre et par les nombreux moyens utilisés pour rendre le malware efficace. Le nom vient tout d’abord du mot « Careto » que les analystes ont pu trouver dans le code du malware. Ensuite, le malware est capable d’accomplir un grand nombre de missions, parmi lesquelles l’enregistrement des frappes au clavier, l’aspiration des conversations Skype et des clés de chiffrement et plus globalement le vol de données sensibles.
Son code est conçu pour fonctionner sur les machines Windows, OS X et Linux, ce qui le rend déjà particulier. Bien qu’aucune preuve n’ait été trouvée pour étayer cet aspect, Kaspersky indique cependant que le code suggère une présence sur iOS et Android. Parmi les aspects « troublants » de Mask/Careto, l’éditeur signale que le malware serait en circulation depuis au minimum cinq ans. Il aura fallu la détection de l’exploitation d’une faille dans une ancienne version de son antivirus pour que la société russe découvre la bête.
Mask prend la tête de la sophistication selon Kaspersky
Mais l’analyse du code fournit de nombreuses autres informations. Toujours selon Kaspersky, Mask serait ainsi conçu pour infecter les ambassades, les agences gouvernementales au sens large, les instituts de recherche, les entreprises du secteur énergétique ou encore certaines industries. La complexité du code serait telle qu’elle rappellerait directement les caractéristiques de Stuxnet, Flame, Duqu, Red October, Icefog et Gauss : le signe tangible de l’implication directe d’un État. C’était notamment le cas de Flame, Kaspersky ayant justement souligné la participation des États-Unis et d’Israël pour la création de ce malware dirigé avant tout contre l’Iran.
Pour Kaspersky, Mask est cependant un cran au–dessus de Flame et des autres. Tout commence avec une tentative de phishing visiblement très élaborée pour piéger une personne en particulier. L’objectif est d’emmener cette dernière sur une page web suffisamment bien conçue pour ressembler trait pour trait à un site journalistique connu, tel que le New York Times, le Guardian ou le Washington Post. De là, le faux site va pouvoir détecter la présence éventuelle d’une ou plusieurs failles. C’est le cas notamment d’une brèche dans le lecteur Flash, déjà corrigée, mais qui permet de contourner la sandbox du navigateur.
Un vrai certificat de sécurité fourni par une fausse entreprise
Mask utilise en outre un kit d’outils particulièrement évolué pour répondre à un grand nombre de situations. On trouve ainsi un rootkit et un bootkit, accompagnés de binaires capables de fonctionner individuellement sur les versions 32 et 64 bits de Windows, OS X et Linux, sans oublier les systèmes mobiles déjà cités. Les binaires Windows sont par ailleurs signés d’un certificat authentique fourni par une fausse entreprise. Un degré de sophistication qui permet au malware de ne pas provoquer d’avertissements particuliers sur le système de Microsoft, et qui relance la polémique de la pertinence des certificats de sécurité quand la chaine de confiance est rompue.
Comme de très nombreux autres malwares, Mask/Careto est piloté par des serveurs C&C (Command and Control). Les communications se font de manière chiffrée via un canal HTTPS, mais Kaspersky a pu prendre le contrôle de certaines adresses IP et noms de domaine utilisés par ces serveurs.
Pourtant, d’après les résultats de l'éditeur, même s’ils sont sans doute incomplets, le nombre de machines infectées est très bas : environ 380 postes uniques, répartis dans 31 pays et près d'un millier d'adresses IP différentes. En outre, toute la campagne s’est brutalement arrêtée en fin de semaine dernière, en quelques heures. Ce qui n’empêche pas l’éditeur de souligner le « grand professionnalisme dans les procédures opérationnelles du groupe derrière l’attaque ». Les auteurs de Mask ont ainsi surveillé attentivement le comportement de leur infrastructure, ont clos proprement leur opération et ont efficacement supprimé leurs traces.
Si le nombre de machines infectées peut sembler plus que limité et refléter peut-être l’échec d’une campagne, il n’en est sans doute rien. Le profil très particulier des cibles indique que lesdites machines sont probablement utilisées par des personnes bien placées dans une agence ou une entreprise importante.
Ceux qui souhaitent en savoir davantage sur Mask pourront consulter le très long rapport technique publié par Kaspersky à son sujet.
Commentaires (114)
#1
La qualité des sous titre est baisse chez PCI en ce moment !!
bon allez chui bon prince…
" />
#2
Grillé par le sous-titre. " />
Comment je fais mes blagues vaseuses maintenant ? " />
#3
#4
Si le nombre de machines infectées peut sembler plus que limité et refléter peut-être l’échec d’une campagne, il n’en est sans doute rien. Le profil très particulier des cibles indique que lesdites machines sont probablement utilisées par des personnes bien placées dans une agence ou une entreprise importante.
Bon, ça va, mon PC au bureau n’est pas infecté.
" />" />" />" />" />
#5
#6
Bientôt compatible Google Glass " />
#7
The Mask also uses a customized attack against older versions of Kaspersky Lab products to hide in the system
C’te message subliminal" />
#8
Son code est conçu pour fonctionner sur les machines Windows, OS X et Linux
Pas possible… on m’a toujours dit le contraire… " />
#9
Il porte bien son nom en tout cas, il a avancé masqué pendant cinq ans…" />" />
#10
#11
Sssssplendiiiiide
Excellent :)
#12
Venom!" />
#13
La suite au prochain épisode avec…. Mask II, le retour du vengeur maské ! " />
#14
#15
from an unknown or fake company, called TecSystem Ltd
Pourtant elle existe et est en plus hispanophone.
Bon j’arrête les quotes parce que je sens que le rapport contient quelques perles…
#16
Ils vont être déMaskés j’espère …. " />
#17
#18
De là, le faux site va pouvoir détecter la présence éventuelle d’une ou plusieurs failles. C’est le cas notamment d’une brèche dans le lecteur Flash, déjà corrigée, mais qui permet de contourner la sandbox du navigateur.
D’où l’intérêt de noscript " />
#19
M.A.S.K. doit trouver beaucoup d’info pour choper V.E.N.O.M. " />
#20
En outre, toute la campagne s’est brutalement arrêtée en fin de semaine dernière, en quelques heures.
La NSA a éteint le serveur ? " />
#21
spa G.I. Joe qui se bat contre MASK normalement ?
…..ok dehors mais fait froid
#22
#23
J’ai une question peut-être un peu conne mais… Comment un virus aussi évolué soit-il peut-il infecter un nombre aussi restreint d’ordinateurs appartenant spécifiquement à des agences gouvernementales,des entreprises du secteur énergétique etc… Sans être par défaut présent dans un logiciel particulier lié à ces ordinateurs ou installé directement par quelqu’un ayant accès à ces postes ?
#24
#25
#26
#27
#28
#29
#30
#31
#32
C’est sûr que 380 postes ce n’est pas beaucoup mais si ce sont des postes de chefs d’entreprises ou de membres du gouvernement ça fait peur…
Un tel niveau d’élaboration est surprenant " />
#33
EDIT foireux, need un café
#34
#35
#36
Il aura fallu la détection de l’exploitation d’une faille dans une ancienne version de son antivirus pour que la société russe découvre la bête.
Je viens de comprendre qu’on est censés dire “Kasperski” et pas “Kasperscaille”.
Effrayant tout de même, et il est fort probable qu’en 5 ans les créateurs de ce virus ont eu tout le temps d’apprendre et de développer quelque chose d’encore plus performant…
#37
#38
#39
#40
#41
#42
#43
#44
#45
#46
#47
#48
#49
#50
#51
l’aspiration des conversations Skype
Une attaque qui durait depuis plus de cinq ans
Son code est conçu pour fonctionner sur les machines Windows, OS X et Linux
" /> " /> " /> " /> " />
#52
#53
Chevalier mask >_>
#54
#55
environ 380 postes uniques, répartis dans 31 pays et près d’un millier d’adresses IP différentes
Il n’y a que moi que ça choque une moyenne de quasiment 3 IPs par poste ?
#56
#57
#58
#59
#60
#61
#62
#63
#64
Comment ça OS X et Linux ?
Apple affirme avoir l’OS le plus évolué au monde. Les linuxiens se foutent de la gueule des autres sur la sécurité en affirmant ne pas être touché par tout ça.
On m’a menti ? " />
#65
#66
Why not North Korea ? " />
#67
#68
Linux n’a que peu voir quasi pas de virus/malware vu le peu de PDM qu’il a. OS X monte en PDM et commence a être touché comme windows.
#69
#70
#71
Et je vous l’avais déjà dit sur les autres news sur Flame et Cie, mais ce n’est que le début…
On est encore loin d’avoir découvert tous ce genres de programmes qui courent depuis longtemps sur le Net et peut être nos machines, tout OS confondus " />
#72
Les binaires Windows sont par ailleurs signés d’un certificat authentique fourni par une fausse entreprise. Un degré de sophistication qui permet au malware de ne pas provoquer d’avertissements particuliers sur le système de Microsoft
Je comprends pas comment c’est possible.
Il y a toujours une chaine de certification donc après avoir identifié le maillon faible (le certificat qui a un faux nom d’entreprise) on doit pouvoir demander des comptes au maillon supérieur qui est garant de ce qu’il signe.
C’est qui l’autorité qui a signé le certificat ?
#73
#74
#75
#76
#77
#78
#79
#80
#81
#82
#83
je suis encore sur BeOS, je ne risque rien !!!! " />
#84
#85
#86
#87
C’est un coup des russes qui ont espionnés les équipes/sportifs des autres pays pour être sûr de gagner les J.O qu’ils organisent " />
#88
#89
@athlon64
Entre une BSD et OSX il y a quand même quelques différences et quelques couches en plus venant d’Apple qui font la différence et n’en font plus la BSD de départ.
On peut prendre une base ultra saine et se faire entuber en la modifiant ou en l’ouvrant a des choses que l’on rajoute soi même (BlackBerry vient de le découvrir avec une faille possible sur BB10 et BES via sa compatibilité avec les applis android sur sa dernière version).
Ceci dit, cela serait une bonne occasion pour les BSD de re auditer leur OS.
#90
#91
#92
#93
#94
C’est marqué sur la page d’acceuil du site Open BSD:
“Seulement deux vulnérabilités à distance dans l’installation par défaut, depuis diablement longtemps !”
Installation par défault … en gros il te livre un OS hyper secure et parmis les plus “clean”.
C’est après que tout peu foirer, car libre à toi ensuite de le flinguer en l’administrant avec tes pieds, en mordant à tout les hameçons qu’on te présente ou en installant et acceptant tout et n’importe quoi … ^^
A la base du piratage Mask, c’est la traditionnelle tehnique de phishing et fraude au certificat qui crée la corruption, pas une brèche dans les OS.
#95
Aucune machine infectée en Israël ou aux usa, tiens tiens…
#96
Et les documents de Snowden n’ont encore rien révélés quant à l’implication de la NSA là-dedans?
#97
#98
#99
#100
#101
#102
#103
#104
#105
#106
#107
The other observed attack methods relies on a Flash Player exploit.
CVE-2012-0773 has an interesting history. It was originally discovered by French company VUPEN and used to win the “pwn2own” contest in 2012. This was the first known exploit to escape the Chrome sandbox. VUPEN refused to share the exploit with the contest organizers, claiming that it plans to sell it to its customers.
De la vente par une société Française cataloguée vendeuse d’exploits pour la NSA et consorts. Ce serait donc une société ou un organisme client de Vupen.
The way the attack works is the following: first, it tries to open the handle of the Kaspersky system driver, “\.\KLIF” and sends a custom DeviceIoControl code. If the call succeeds, the module and all processed named “services.exe” are no longer checked by the antivirus engine.
La backdoor SGH est intéressante, ils se sont fait remarqués par l’utilisation d’une faille dans le driver system de Kaspersky, “\.\KLIF”, qui poussait le module de l’antivirus à ne plus vérifier le processus “services.exe”. S’en suit une longue liste de modules (détaillé surtout dans l’appendice 2).
Ce qui fait sa particularité c’est sa longue durée de vie, probablement lié aux précautions de discrétions, mais autrement sacré coup de pub pour Kaspersky qui surfe sur la vague Snowden (avec une jolie image “Careto” en début de rapport, toute belle, toute prête pour les journalistes).
#108
#109
#110
#111
#112
#113