L’un des groupes de piratage informatique les plus avancés au monde lance le nouveau Titanium
L’un des groupes de piratage les plus avancés au monde sur le plan technologique possède une nouvelle porte dérobée tout aussi sophistiquée que ses créateurs.
Surnommé Titanium par les chercheurs en sécurité du Kaspersky Lab qui l’ont découvert, le malware est la dernière charge utile livrée dans une séquence d’attaque longue et complexe. La chaîne d’attaque utilise une foule d’astuces astucieuses pour échapper à la protection antivirus. Ces astuces comprennent le cryptage, l’imitation des pilotes de périphériques et des logiciels courants, les infections uniquement en mémoire et une série de compte-gouttes qui exécutent le code malveillant selon une séquence à plusieurs étapes. Un autre moyen de rester sous le radar est la transmission de données cachées. stéganographiquement dans une image PNG.
Nommé d’après un mot de passe utilisé pour crypter une archive malveillante, Titanium a été développé par Platinum, un groupe de menaces persistantes et avancées qui se concentre sur la région Asie-Pacifique, très probablement au nom d’un pays.
« L’APT Titane a un système d’infiltration très compliqué, » Kaspersky Lab chercheurs a écrit dans un post. « Elle comporte de nombreuses étapes et exige une bonne coordination entre elles. En outre, aucun des fichiers du système de fichiers ne peut être détecté comme malveillant en raison de l’utilisation de technologies de cryptage et sans fichiers. Une autre caractéristique qui rend la détection plus difficile est l’imitation d’un logiciel bien connu. »
Le titane utilise plusieurs méthodes différentes pour infecter ses cibles et se propager d’ordinateur en ordinateur. L’un est un intranet local qui a déjà été compromis par des logiciels malveillants. Un autre vecteur est un SFX contenant une tâche d’installation Windows. Un troisième est le shellcode qui est injecté dans le processus winlogon.exe (on ignore encore comment cela se passe). Le résultat final est une porte dérobée furtive et complète qui le peut :
- Lire n’importe quel fichier d’un système de fichiers et l’envoyer à un serveur contrôlé par un attaquant
- Déposer un fichier sur le système de fichiers ou le supprimer du système de fichiers
- Lâcher un fichier et l’exécuter
- Exécutez une ligne de commande et envoyez les résultats de l’exécution au serveur de contrôle de l’attaquant.
- Mettre à jour les paramètres de configuration (sauf la clé de cryptage AES)
Le platine est en exploitation depuis au moins 2009, selon une étude de l rapport détaillé Microsoft publié en 2016. Le groupe se concentre principalement sur le vol de propriété intellectuelle sensible liée aux intérêts gouvernementaux. Le platine repose souvent sur l’hameçonnage à la lance et les exploits du jour zéro.
Il est intéressant de noter que Kaspersky Lab dit qu’il n’a pas encore détecté d’activité actuelle liée au titane. Il n’est pas clair si c’est parce que le logiciel malveillant n’est pas utilisé ou s’il est tout simplement trop difficile de détecter les ordinateurs infectés.