Le cyberespionnage est l’arme du 21ème siècle. Il suffit d’une simple application mobile pour avoir accès à l’intimité d’un utilisateur négligeant, le tout à l’aide d’une campagne d’espionnage qui cible en particulier les cadres travaillant pour des multinationales ou pour des organisations gouvernementales.
L’actualité de cet automne c’est la découverte d’un réseau espion par Kaspersky Lab, baptisé »Darkhotel », qui fonctionne déjà depuis 7 ans dans plusieurs hôtels asiatiques. Et ce n’est pas tout, un groupe d’espions professionnels et plutôt malins impliqué dans les opérations en cours, a mis au point plusieurs techniques pour infiltrer l’ordinateur de ses victimes.
C’est en 2012 que le FBI fait référence pour la première fois, à des attaques contre plusieurs clients de ces hôtels en question. Cependant, le malware utilisé pour les opérations Darkhotel (alias Tapaoux) fait des apparitions sur la toile depuis 2007. Après avoir étudié les identifiants que les serveurs C&C ont utilisé pour mener la campagne, les experts en sécurité informatique ont découvert que les connexions remontaient au 1er Janvier 2009. Après tout ce que l’on vient de dire, il semble que la campagne soit active depuis déjà bien longtemps.
Il se trouve que la campagne #Darkhotel est active depuis 7 ans
Tweet
La principale méthode utilisée pour infiltrer l’ordinateur des victimes est de passer par le réseau Wi-Fi des hôtels de luxe asiatiques. Les cybercriminels ont utilisé des vulnérabilités jour zéro sur Adobe Flash et sur d’autres programmes célébres. De telles vulnérabilités ne sont pas faciles à découvrir, ce qui signifie que cette campagne a été menée par de riches sponsors, qui peuvent se permettre d’acheter des armes au prix fort, soit par des professionnels de haut niveau. Probablement les deux.
Bien qu’elle ne soit pas la seule, la méthode mentionnée précédemment, consistant à installer des logiciels espions, est la plus utilisée par les cybercriminels pour gérer leurs attaques, ce qui suppose qu’elles auraient été menées par des employés de l’hôtel. L’autre technique possible est d’inclure un Trojan distribué au travers de clients torrents comme une partie de fichier compromis d’une BD pour adulte en chinois.
Les cybersespions pratiquent aussi le hameçonnage ciblé, en envoyant des emails compromis à des employés d’organisations gouvernementales et à but non lucratif.
En plus de l’utilisation de la vulnérabilité jour zéro, il y a d’autres actions qui prouvent le haut niveau de connaissances des cybercriminels impliqués dans la campagne. Ils sont allé aussi loin que possible dans l’élaboration de certificats de sécurité numérique pour leurs malwares. Pour espionner les canaux de communication utilisés par leurs victimes, les criminels sont passés par un keylogger sophistiqué. Le logiciel espion utilise un module intégré qui permet de subtiliser les mots de passe enregistrés sur des navigateurs populaires.
Bizarrement, les coupables ont été très prudents et ont élaboré un ensemble de mesures pour prévenir la détection du malware. D’abord, ils se sont assuré que la « période d’incubation » du virus ait été assez longue : le Trojan s’est connecté pour la première fois au serveur C&C 180 jours après avoir infiltré le système. Deuxièmement, le logiciel espion contenait un protocole d’autodestruction si jamais la langue du système changeait au Coréen.
Les criminels lançaient leurs attaques principalement au Japon, ainsi que dans des pays voisins tel que Taiwan ou la Chine. Cependant, Kaspersky Lab a réussi à détecter des attaques dans d’autres pays, dont certains très éloignés des territoires initialement visés par les attaquants.
Au sujet de Darkhotel, Kurt Baumgartner, expert en chef de la sécuritéà Kaspersky Lab a déclaré : « Ces dernières années, un groupe baptisé Darkhotel a lancé plusieurs attaques contre des individus haut placé, par le biais de techniques et méthodes largement supérieures à celles utilisées par un cybercriminel de base. Ce groupe possède des compétences techniques, des connaissances en mathématiques et crypto-analyse ainsi que d’autres ressources permettant d’abuser de réseaux commerciaux fiables et de cibler de manière très précise une certaine catégorie de victimes. »
The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE
— Eugene Kaspersky (@e_kaspersky) 10 ноября2014
Pour finir, on peut affirmer que les produits Kaspersky Lab detectent et neutralisent les programmes malicieux et leurs variantes utilisés par le groupe Darkhotel. Pour plus de détails sur les APT de Parkhotel, consultez