Kaspersky Lab a révélé une cyberattaque ayant visé son propre réseau ainsi que des sites liés aux évènements du P5+1 dans le cadre de négociations avec l’Iran autour du nucléaire.
Au début du printemps 2015, Kaspersky Lab détectait une cyber-intrusion dans plusieurs de ses systèmes internes. Suite à cette découverte, l’entreprise lançait une enquête, dont le résultat fut l’identification d’une nouvelle plateforme de malware issue d’une des APT (menaces avancées persistantes) « les plus complexes, mystérieuses et puissantes : Duqu », indique-t-il.
Très peu de traces laissées
Kaspersky Lab pense que les auteurs étaient convaincus qu’ils ne pouvaient pas être découverts. En effet, l’attaque incluait des caractéristiques uniques, jamais vues auparavant, et n’a laissé presqu’aucune trace.
L’attaque a exploité des vulnérabilités zero-day et après avoir élevé le niveau de privilèges pour devenir administrateur domaine, elle s’est répandue dans le réseau via des fichiers MSI (Microsoft Software Installer), qui sont régulièrement utilisés par les administrateurs système pour déployer des logiciels sur des ordinateurs Microsoft distants. L’attaque n’a laissé derrière elle aucun fichier sur les disques durs et n’a modifié aucun paramètre système, rendant sa détection quasiment impossible. « Le mode opératoire et la philosophie du groupe Duqu 2.0 indiquent un bond en avant d’une génération par rapport à tout ce qui a pu être observé en matière d’APT jusqu’à présent », estime l’éditeur.
Des attaques autour d’événements internationaux
Les chercheurs de Kaspersky Lab ont également découvert que l’entreprise n’était pas la seule cible de ce puissant acteur. D’autres victimes ont été repérées dans les pays occidentaux, ainsi que dans certains pays du Moyen-Orient et en Asie. Ainsi, certaines des nouvelles infections de 2014-2015 sont liées aux évènements du P5+1 (USA, GB, France, Russie, Chine, Allemagne), dans le cadre de négociations avec l’Iran autour du nucléaire. L’acteur malveillant derrière Duqu semble avoir lancé des attaques contre les sites accueillant des pourparlers. En outre, le groupe Duqu 2.0 a lancé une attaque similaire en relation avec les célébrations de la libération du camp d’Auschwitz-Birkenau.
But de l’APT : le vol de propriété intellectuelle
Kaspersky Lab a mené une analyse de l’attaque ainsi qu’un audit de sécurité ; ce dernier incluant la vérification des codes-sources et le contrôle de l’infrastructure de la société. L’audit, à ce jour, est encore en cours et sera finalisé dans quelques semaines. À l’exception du vol de propriété intellectuelle, aucun autre indicateur d’activité malveillante n’a été détecté. L’analyse a révélé que l’objectif premier des assaillants était d’espionner les technologies de Kaspersky Lab, les recherches en cours et les procédures internes. Aucune interférence avec les processus ou les systèmes n’a été détectée.
Kaspersky Lab se dit « confiant dans le fait qu’il n’y a d’impact ni sur ses produits, technologies, services, ni sur la sécurité de ses clients et partenaires ».