Des cybercriminels auraient piraté 140 entreprises sans laisser aucune trace. Kaspersky Lab nous alerte sur un nouveau type d’attaque.
Ont été les cibles de ces logiciels malveillants des banques, principalement des entreprises de télécommunication et des organisations gouvernementales aux États-Unis, en Amérique du Sud, en Europe et en Afrique. Cette information a été révélée, dans un communiqué de presse, par des experts de Kaspersky Lab, une société privée spécialisée dans la sécurité des systèmes d'information.
Pour ces experts, il s’agit d’une toute nouvelle forme d’attaque, qu’ils jugent ‘invisible’. En effet, ces malwares sont difficilement repérables car toujours en dessous du radar de détection; ils n’utilisent que des logiciels 'légitimes' : des outils d'analyse et d'administration de pénétration largement disponibles comme PowerShell sous Windows. Ces malwares s’établissent dans la mémoire ram, ne laissent donc que très peu de traces, et restent juste assez longtemps pour recueillir des informations avant que leurs traces ne soient effacées du système lors du premier redémarrage.
La découverte de ce hack a eu lieu fin 2016, lorsque les banques du CIS (Catering International Services) ont trouvé le logiciel de test de pénétration, Meterpreter, souvent utilisé à des fins malveillantes, dans la mémoire de leurs serveurs alors qu'il n'était pas censé être là. Kaspersky Lab a découvert que le code Meterpreter était combiné avec un certain nombre de scripts PowerShell légitimes et d'autres utilitaires. Depuis cette découverte, Kaspersky Lab établit le nombre de 140 réseaux d'entreprise piratés : 10 en France.
« On ne sait pas qui est derrière les attaques. L'utilisation du code d'exploitation en open source, des utilitaires Windows et des domaines inconnus rend presque impossible la possibilité de déterminer les responsables - ou même s'il s'agit d'un seul groupe ou de plusieurs groupes partageant les mêmes outils. Les groupes connus qui ont les approches les plus semblables sont GCMAN et Carbanak / a>. », explique Sergey Golovanov, chercheur principal en sécurité chez Kaspersky Lab. « Dans ces incidents, les attaquants ont utilisé toutes les techniques anti-investigations possibles et imaginables, faisant la démonstration qu’aucun fichier malveillant n’est nécessaire pour exfiltrer avec succès des données d’un réseau et que l’emploi d’outils légitimes et open source rend une attribution quasi impossible. […] La détermination des attaquants à masquer leur activité et à compliquer de plus en plus la détection et la réponse aux incidents explique la recrudescence de techniques anti-investigations et de malwares résidant en mémoire. »
Participer à la conversation