Skip to content
Logo csisimple

C Si Simple

Le réseau de connaissances pour les Pros !

Primary Menu
  • Technologie
  • Ordinateurs
  • Intelligence Artificielle
  • Home
  • Technologie
  • L’évasion des Shadow Brokers du code de la NSA conduit à la découverte d’un nouvel APT
  • Technologie

L’évasion des Shadow Brokers du code de la NSA conduit à la découverte d’un nouvel APT

5 novembre 2019 3 min read
Image stylisée d'un code à barres UPC.

Image stylisée d'un code à barres UPC.

Avec un pourboire qui vient de l’une des plus grandes infractions de l’histoire de la US National Security Agency. Aux États-Unis, des chercheurs ont découvert un nouveau groupe de piratage qui infectait des cibles avec un programme malveillant inconnu jusqu'alors inconnu.

Les indications du groupe APT [Advanced Persistent Threat Abbreviation] sont apparues pour la première fois en avril 2017. C'est à ce moment-là qu'un groupe non identifié appelé Shadow Brokers a publié des exploits et des codes développés par la NSA puis volés à celle-ci. Intitulée "Lost in translation", la société était surtout connue pour la publication de l'exploit Eternal Blue qui allait plus tard nourrir les vers WannaCry et NotPetya qui ont causé des dommages à des dizaines de milliards de dollars dans le monde. Mais le dump incluait autre chose: un script qui vérifiait les ordinateurs infectés contre les logiciels malveillants provenant de divers APT.

Les chercheurs de Kaspersky Lab ont déclaré qu'un des APT décrit dans le script avait commencé à fonctionner au plus tard en 2009, puis avait disparu en 2017, l'année de la publication de Shadow Brokers. Surnommé DarkUniverse, le groupe est probablement lié à ItaDuke, un groupe qui a attaqué activement les Ouïghours et les Tibétains depuis 2013. L'évaluation des liens est basée sur des chevauchements de codes uniques dans les programmes malveillants des deux groupes.

Aller très loin

En approfondissant leurs recherches sur DarkUniverse, les chercheurs ont découvert que le groupe avait tout mis en œuvre pour infecter et surveiller leurs objectifs. Par exemple, des courriels de spearphishing ont été préparés séparément pour chaque objectif afin de s’assurer de capter l’attention des destinataires et de les inciter à ouvrir un document Microsoft joint. En outre, les logiciels malveillants complets se sont développés à partir de rien et ont considérablement évolué au cours des huit années d'existence du groupe. Chaque échantillon de logiciel malveillant a été compilé immédiatement avant son envoi afin d'inclure la dernière version disponible de l'exécutable.

"Les attaquants étaient ingénieux et ont continué à mettre à jour leurs logiciels malveillants pendant tout le cycle de vie de leurs opérations. Les échantillons observés en 2017 sont donc totalement différents des initiales de 2009", ont écrit des chercheurs de Kaspersky dans un communiqué. publication publiée mardi. "La suspension de leurs opérations peut être liée à la publication de la fuite" Lost in translation ", ou les attaquants ont peut-être simplement décidé de passer à une approche plus moderne et de commencer à utiliser des artefacts plus largement disponibles pour leurs opérations. ".

Le logiciel malveillant modulaire DarkUniverse a été en mesure de collecter un large éventail d'informations sur l'utilisateur et le système infecté pendant une période prolongée. Les données collectées comprennent:

  • Entrée au clavier
  • Conversations par courriel
  • Informations d'identification Outlook Express, Outlook, Internet Explorer, Windows Mail et Windows Live Mail, Windows Live Messenger et le cache Internet
  • Captures d'écran
  • Fichiers de répertoire spécifiques
  • Données provenant de serveurs distants et de ressources partagées.
  • Une liste des fichiers du serveur distant si les informations d'identification spécifiées sont valides
  • Informations du registre Windows

Le malware avait également la possibilité de modifier les paramètres DNS, d'effectuer des attaques de base au centre, de télécharger et d'exécuter des fichiers. Les serveurs de contrôle étaient principalement stockés dans le service de stockage en nuage mydrive.ch. Les opérateurs de DarkUniverse ont créé un nouveau compte, ainsi que des modules de programmes malveillants et des fichiers de configuration supplémentaires, pour chaque objectif.

Les chercheurs connaissent 20 cibles infectées géolocalisées en Syrie, en Iran, en Afghanistan, en Tanzanie, en Éthiopie, au Soudan, en Russie, au Bélarus et aux Émirats arabes unis. Les objectifs étaient des organisations civiles et militaires. Les chercheurs soupçonnent que le nombre d'infections entre 2009 et 2017 était beaucoup plus élevé.

Continue Reading

Previous: Des chercheurs piratent Siri, Alexa et Google Home avec des lasers
Next: Les FAI ont menti au Congrès pour répandre la confusion sur le DNS crypté,

Articles Liés

microsoft-dit-oui-aux-futures-requetes-dns Microsoft dit oui aux futures requêtes DNS cryptées dans Windows 4 min read
  • Technologie

Microsoft dit oui aux futures requêtes DNS cryptées dans Windows

19 novembre 2019
google-samsung-corrige-un-defaut-despionnage Google & Samsung corrige un défaut d’espionnage Android. D’autres fabricants peuvent encore être 6 min read
  • Technologie

Google & Samsung corrige un défaut d’espionnage Android. D’autres fabricants peuvent encore être

19 novembre 2019
le-demontage-du-macbook-pro-de-16 Le démontage du MacBook Pro de 16 pouces d’iFixit révèle le même vieux clavier que nous. 3 min read
  • Technologie

Le démontage du MacBook Pro de 16 pouces d’iFixit révèle le même vieux clavier que nous.

18 novembre 2019
le-fbi-a-redige-une-resolution Le FBI a rédigé une résolution d’Interpol appelant à l’interdiction de bout en bout 5 min read
  • Technologie

Le FBI a rédigé une résolution d’Interpol appelant à l’interdiction de bout en bout

18 novembre 2019
les-etats-unis-accordent-a-huawei-sa-troisieme Les États-Unis accordent à Huawei sa troisième exemption de 90 jours de soutien à l’exportation 3 min read
  • Technologie

Les États-Unis accordent à Huawei sa troisième exemption de 90 jours de soutien à l’exportation

18 novembre 2019
apple-sort-ios-et-ipados-13-2-3 Apple sort iOS et iPadOS 13.2.3 2 min read
  • Technologie

Apple sort iOS et iPadOS 13.2.3

18 novembre 2019

Articles récents

  • L’initiative du MIT pour l’énergie accorde huit subventions de fonds d’amorçage pour les premières étapes de la recherche sur l’énergie du MIT
  • Améliorer l’équité en matière de santé dans le monde en aidant les cliniques à faire plus avec moins
  • Identifier une mélodie en étudiant le langage corporel d’un musicien
  • Lancement du programme MIT-Takeda | MIT News
  • Apporter le pouvoir prédictif de l’intelligence artificielle aux soins de santé

Catégories

  • Entreprises
  • Intelligence Artificielle
  • Ordinateurs
  • Technologie
  • Magazine W30
  • Contact
Copyright © All rights reserved. | Magnitude by AF themes.