En début de mois nous évoquions cette cyberattaque ayant visé les réseaux du Département d’État américain et de la Maison-Blanche et confirmée par l’administration Obama un an plus tôt.
CNN assurait que la Russie en était à l’origine. Aujourd’hui , la société Kaspersky Lab, si elle ne valide pas formellement cette théorie, nuance l’accusation et affirme que les pirates sont au moins « russophones ».
Ces attaques qui ont visées, outre les principales administrations américaines, des organisations gouvernementales et entités commerciales en Allemagne, Corée du Sud et Ouzbékistan, ont été rendues possibles par un logiciel malveillant du nom de « Cozyduke », une ATP (menace persistante avancée) également connue sous le nom CozyBear, CozyCar et Office Monkeys.
Ce logiciel est sophistiqué en ce qu’il présente des fonctionnalités de chiffrement et d’anti-détections (il détecte la présence d’antivirus ou module de sécurité comme Kaspersky Lab, Sophos, DrWeb, Avira, Crystal et Comodo dragon, pour mieux les contourner), la possibilité de télécharger des malwares puissants et malveillants, mais également des similitudes avec des campagnes de cyberespionnage baptisées MiniDuke, CosmicDuke et OnionDuke et dont les auteurs pourraient être russophones selon certains marqueurs.
« Nous avons surveillé à la fois MiniDuke et CosmicDuke depuis quelques années. Kaspersky Lab a mis en garde contre des attaques avec MiniDuke dès 2013 », précise ainsi Kurt Baumgartner, chercheur à Kaspersky Lab. D’anciennes traces de cette cybermenace remontent à 2008.
MiniDuke et CosmicDuke, toujours actifs, ciblent particulièrement les entreprises et ambassades sur des secteurs stratégiques : énergie (pétrole, gaz), télécommunications, complexes militaires, recherche, diplomatie.
« CozyDuke est, en toute certitude, connecté à ces deux campagnes » de cyberespionnage. « Nous pensons que ces outils de piratage ont tous été créés et sont tous gérés par des russophones », assure la société de cybersécurité.
Et il ne fait aucun doute que ce groupe est derrière l’attaque du Département d’État, qui a ensuite permis d’infiltrer le réseau informatique de la Maison-Blanche. Les ATPs nécessitant le soutien d’un État, les regards se redirigent à nouveau vers le Kremlin.
L’attaque s’était formalisée par un phishing (ou hameçonnage), des mails d’apparence normale et officielle avec une vidéo de singe en pièce jointe notamment (« Office Monkeys LOL Video.zip » par exemple).
Comme le précise Kaspersky, « CozyDuke utilise souvent la technique du Spear Phishing en adressant à ses cibles des emails contenant un lien vers un site web infecté – y compris des sites critiques et légitimes comme ‘diplomacy.pl’ – qui héberge une archive ZIP contenant un malware. Dans d’autres cas qui se sont avérés fructueux, CozyDuke a envoyé de fausses vidéos en pièce jointe, contenant des fichiers exécutables malveillants. »
La Maison-Blanche avait confirmé l’attaque tout minimisant sa portée en affirmant qu’aucune donnée sensible n’avait été compromise.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
