Le logiciels de récupération de données volées Lojack devient un agent double. Résumé du blog publié par l’ASERT Team après la découverte.
ASERT a récemment découvert un agent Lojack contenant des Command & Control (C&C) malveillants.
Les agents détournés ont conduit les chercheurs en sécurité jusqu’aux noms de domaine Fancy Bear (a.k.a. APT28, Pawn Storm). La communauté InfoSec et le gouvernement américain ont tous deux attribué l’activité de Fancy Bear aux services d’espionnage russe.
Les hackers Fancy Bear visent généralement des cibles géopolitiques telles que les gouvernements et les organisations internationales. Ils ciblent également les industries qui travaillent avec des organisations gouvernementales comme les sous-traitants du domaine de la défense. Lojack, dont l’appellation officielle est Computrace, est une solution légale de PRA (Plan de récupération d’activité) utilisée par de nombreuses entreprises pour protéger et récupérer leurs fichiers sensibles en cas de vol.
Lojack peut devenir un excellent agent double du fait qu’il apparaît comme un logiciel légitime tout en ayant la capacité d’exécuter des codes à distance. Bien que le vecteur d’intrusion initial reste inconnu, Fancy Bear utilise souvent les mails de phishing pour envoyer des charges actives (PayLoad).