© Flickr/ Ivan David Gomez Arce
Selon les chercheurs de Kaspersky Lab, un code malveillant connu sous le nom « Project Sauron » a été exploité inaperçu depuis 2011.
« En Septembre 2015, la plate-forme d’attaque anti-ciblée de Kaspersky Lab a découvert le trafic réseau anormal dans un réseau de l’organisation du gouvernement, » lit-on dans un rapport publié par la société de logiciels le lundi.
« L’analyse de cet incident a conduit à la découverte d’une bibliothèque de programme exécutable étrange, chargé dans la mémoire du serveur de contrôleur de domaine … Des recherches supplémentaires ont révélé des signes d’un acteur de menace inconnue, responsable des attaques à grande échelle contre des entités gouvernementales clés. »
Le logiciel malveillant a été découvert sur au moins 30 cibles et a été actif pendant environ cinq ans. Étant donné qu’il a longtemps évolué sans détection, la société de logiciels soupçonne un groupe parrainé par un État derrière la sortie.
« Les assaillants comprennent clairement que nous, les chercheurs sommes toujours à la recherche de modèles. Retirer les motifs et les opérations seront plus difficiles à découvrir, » indique le rapport.
« Nous sommes conscients que plus de 30 organisations ont été attaquées, mais nous sommes sûrs que cela est juste une petite pointe de l’iceberg. »
Détailler le nombre exact de serveurs infectés pourrait se révéler difficile. Alors que la plupart des logiciels malveillants réutilise certaines parties du code, Project Sauron semble se personnaliser pour chaque cible. Le découvrir dans un serveur fait peu pour aider à le traquer pour l’abattre dans d’autres.
Plus étrange encore, le projet Sauron peut infecter les ordinateurs qui ne sont pas connectés à Internet.
« Pour atteindre cet objectif, les périphériques USB amovibles sont utilisés. Une fois que les systèmes en réseau sont compromis, les attaquants attendent une clé USB pour être attaché à la machine infectée, » indique le rapport.
« Ces USBs sont spécialement formatés pour réduire la taille de la partition sur le disque USB, en réservant une quantité de données cachées (plusieurs centaines de mégaoctets) à la fin du disque à des fins malveillantes. »
Le principal objectif du malware semble être d’obtenir les mots de passe, les adresses IP, les clés cryptographiques et les fichiers de configuration. Bien que les chercheurs n’aient pas révélé que les agences gouvernementales aient été infectées, Kaspersky Lab a confirmé qu’ils ont infecté les serveurs en Russie, en Iran et au Rwanda.
Les chercheurs ont également dit qu’ils ne pouvaient pas confirmer quelle nation peut avoir été à l’origine du virus.
« Lorsque vous traitez avec les acteurs de la menace les plus avancés, comme cela est le cas avec le projet Sauron, l’attribution devient un problème insoluble. »
Traduction : Jean de Dieu MOSSINGUE
Source : Sputniknews