ShadowBrokers : Kaspersky découvre une APT de cyber-espionnage active pendant 8 ans

1

En avril 2017, le groupe ShadowBrokers publiait sa célèbre archive ‘Lost in Translation’. Entre autres choses, elle contenait un script très intéressant qui cherchait des traces d’autres APT dans les systèmes compromis. Tribune Kaspersky.

Un système complet de cyber-espionnage actif pendant 8 ans, selon Kaspersky

En 2018, les chercheurs de Kaspersky ont mis au jour une des APTs surveillées dans ce script qu’ils ont baptisée « DarkUniverse« .  Ils ont publié cette semaine leurs découvertes sur DarkUniverse – un mystérieux framework de menace persistante avancée (APT) qui a été actif pendant au moins 8 ans, de 2009 à 2017, et utilisé pour des attaques ciblées. Les cibles de cette APT sont situées dans plusieurs pays d’Afrique et du Moyen-Orient, ainsi qu’en Russie et en Biélorussie. Le malware, propagé à l’aide de courriels malveillants, contenait des modules capables de collecter toutes sortes d’informations sur les cibles et les systèmes infectés, le tout sur une période étendue. Parmi les éléments collectés :

  • Frappes de clavier
  • Conversations par email
  • Captures d’écran
  • Fichiers de répertoires specifiques
  • Données de serveurs distants et ressources partagées utilisées par les victimes

Alexander Fedotov, analyste de malware chez Kaspersky, explique :

« L’affaire DarkUniverse est étrange car les échantillons de 2017 que nous avons observés sont totalement différents des échantillons de 2009. Cela signifie que les attaquants disposaient de ressources suffisantes pour mettre le malware à jour. De plus, les points communs sur le code unique nous permet de dire avec un certain degré de confiance que les créateurs de DarkUniverse étaient connectés à ItaDuke, détecté pour la première fois en 2013. Cette APT  utilisait des exploits PDF pour déposer un malware et des comptes Twitter pour stocker les URLs du serveur de commandes et de contrôle. La suspension des opérations de DarkUniverse pourrait faire suite à la fuite de données baptisée ‘Lost in Translation’, ou les attaquants ont peut-être simplement décidé de passer à des approches plus modernes ».

1 COMMENTAIRE

Répondre à ShadowBrokers : Kaspersky découvre une APT de cyber-espionnage active pendant 8 ans | UnderNews – Jhc Info Annuler la réponse

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.