« Darkhotel », la campagne d’espionnage ciblant les cadres sup’ en déplacement

Cropped Favicon Economi Matin.jpg
Par Kurt Baumgartner Modifié le 16 novembre 2014 à 8h52

Les experts du GReAT de Kaspersky Lab ont analysé la campagne d'espionnage « Darkhotel ». Cette campagne sévit dans l'ombre depuis au moins quatre ans. Elle cible certains dirigeants d'entreprises en voyage à l'étranger séjournant dans des hôtels de luxe, dans le but de leur dérober des données sensibles. Les pirates ne s'attaquent jamais deux fois à la même victime : opérant avec une précision chirurgicale, ils obtiennent le plus possible d'informations de valeur dès le premier contact, effaçant les traces de leurs agissements et se fondant dans le décor en attendant la prochaine cible d'envergure. Parmi les victimes les plus récentes figurent notamment de hauts responsables – PDG, directeurs des ventes et du marketing, chercheurs de haut niveau, etc. – d'entreprises américaines ou asiatiques en voyage d'affaires dans la région Asie-Pacifique. La question est de savoir qui sera la prochaine cible de cette menace encore active...

Mode de fonctionnement d'une attaque Darkhotel

Les auteurs de la campagne d'espionnage Darkhotel ont déployé un dispositif efficace d'intrusion des réseaux d'hôtels, leur permettant depuis plusieurs années d'accéder à des systèmes même réputés privés et sécurisés. Ils attendent que leur victime, à son arrivée à l'hôtel, se connecte au réseau Wi-Fi de l'établissement, communiquant son nom et son numéro de chambre. Ils l'accueillent alors sur le réseau infecté et l'incitent à télécharger et installer un malware de type backdoor, censé être une mise à jour de logiciels courants (GoogleToolbar, Adobe Flash ou Windows Messenger). La victime télécharge sans méfiance ce « cadeau de bienvenue » de l'hôtel, ce qui n'a d'autre effet que d'infecter sa machine avec le logiciel espion de Darkhotel.

Une fois implanté sur un système, la backdoor sert à télécharger des outils de vol plus élaborés : un enregistreur de frappes clavier (keylogger) à signature numérique, le cheval de Troie « Karba » ainsi qu'un module de vol d'informations. Ces outils collectent des données sur le système et les logiciels antimalwares qui y sont installés, Ils recherchent également des mots de passe cachés dans les navigateurs Firefox, Chrome et Internet Explorer, des identifiants Gmail Notifier, Twitter, Facebook, Yahoo! ou Google, ainsi que d'autres informations privées. Les victimes se font dérober des données sensibles, vraisemblablement des éléments de propriété intellectuelle appartenant à leur entreprise. Après leur intrusion, les pirates effacent minutieusement tous leurs outils du réseau de l'hôtel et se remettent à l'affût dans l'ombre.

« Depuis plusieurs années, une puissante menace nommée Darkhotel est responsable d'un certain nombre d'attaques menées avec succès contre des personnes de haut rang, en employant des méthodes et techniques allant bien au-delà de la cybercriminalité classique. La menace Darkhotel s'appuie sur des compétences d'attaque opérationnelles, mathématiques et cryptoanalytiques, ainsi que d'autres ressources suffisantes pour abuser des réseaux commerciaux dignes de confiance et cibler des catégories spécifiques de victimes avec une précision stratégique. » commente Kurt Baumgartner, Principal Security Researcher du GReAT de Kaspersky Lab.

Cependant, les activités malveillantes de Darkhotel ne sont pas toujours cohérentes : aux côtés de ses attaques extrêmement ciblées, la propagation de ses malwares s'effectue sans discernement.

« La combinaison des deux types d'attaques, tantôt ciblées, tantôt aveugles, est de plus en plus répandue sur la scène des menaces APT, où les attaques ciblées servent à infecter des victimes triées sur le volet, tandis que les opérations de type botnet permettent de se livrer à une surveillance de masse ou à d'autres méfaits comme par exemple des attaques DDoS ou, tout simplement, l'installation d'outils d'espionnage plus élaborés chez des victimes présentant un intérêt particulier. » ajoute Kurt Baumgartner.

Comment déjouer la menace Darkhotel

Si, en voyage, tout réseau, même semi-privé comme dans un hôtel, doit être considéré comme potentiellement dangereux. Le cas Darkhotel illustre l'évolution d'un vecteur d'attaque : les détenteurs de précieuses informations peuvent facilement être victimes de la menace Darkhotel, qui est encore active, ou d'une autre attaque de ce type. Pour les en protéger, les experts de Kaspersky Lab leur adresse les conseils suivants :
· Passer par un fournisseur de réseau privé virtuel (VPN) afin de bénéficier d'un canal crypté de communication lors de l'accès à des réseaux Wi-Fi publics ou semi-publics.
· En voyage, toujours considérer les mises à jour de logiciels comme suspectes. Vérifier que le programme d'installation proposé pour la mise à jour est signé par l'éditeur approprié.
· Veiller à installer une solution de sécurité Internet intégrant des défenses proactives contre les nouvelles menaces au-delà d'une simple protection antivirale de base.
· D'autres conseils sont disponibles sur le site cybersmart.kaspersky.com/privacy

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Kurt est arrivé chez Kaspersky Lab en 2010 et il est chargé de surveiller la scène des programmes malveillants aux Amériques. Ses autres fonctions portent sur l'amélioration des technologies et des solutions proposées par Kaspersky Lab.Avant de rejoindre Kaspersky, Kurt a travaillé chez Symantec-PC Tools ThreatFire où il a occupé les fonctions de vice-président chargé de l'étude comportementale des menaces. Il a rejoint ThreatFire en 2005 alors que la société n'était qu'une start-up. Il était le seul chercheur de la société, ce qui ne l'a pas empêché de développer et de mener les efforts de recherche au cours de deux acquisitions réussies. Avant Symantec, Kurt a travaillé en tant que Directeur chargé de la lutte contre les menaces chez Novatix et en tant qu'analyste spécialisé dans les menaces informatiques chez SonicWALL.Kurt maintient un blog actif et présente régulièrement les problèmes liés aux programmes malveillants dans le cadre de conférences internationales. Il est très prisé des médias et il s'agit d'une figure d'autorité dans la communauté plus large de la sécurité informatique.

Aucun commentaire à «« Darkhotel », la campagne d’espionnage ciblant les cadres sup’ en déplacement»

Laisser un commentaire

* Champs requis