Sécurité : Kaspersky Labs détaille "The Mask"

Florian Innocente |

« The Mask », c'est le nom d'une vaste campagne de subtilisation de données sur des PC et Mac infectés, détectée par le labo Kaspersky. Cette appellation est la traduction de "Careto" (en espagnol), une mention trouvée dans le code conçu par ses responsables.

D'après Kaspersky, ces efforts ont été initiés depuis 2007 et les serveurs mis à contribution ont été désactivés le mois dernier par leurs utilisateurs. La panoplie d'outils fonctionnait principalement sur Windows et OS X, mais aussi Linux, avec des références pour iOS et Android repérées, mais sans preuve que ces deux systèmes aient été vraiment visés.

Les ordinateurs visés appartenaient principalement à des institutions gouvernementales, des ambassades, des entreprises du secteur de l'énergie, des labos de recherche, des fonds d'investissement ou encore des groupes militants. Le tout, dans 31 pays à travers le monde. Kaspersky a évalué le nombre de cibles à au moins 380 cibles à travers plus d'un millier d'adresses IP. La sophistication des moyens fait dire à Kaspersky qu'il s'agit probablement d'une opération menée par un État.

L'éditeur d'antivirus explique avoir été alerté de ce dispositif par hasard. Lorsqu'il a remarqué des tentatives pour exploiter des failles vieilles de quelques années dans l'un de ses logiciels. Les auteurs espéraient probablement tomber sur des versions toujours pas actualisées.

Les machines étaient infectées au travers de sites vers lesquels étaient dirigés des utilisateurs après la réception d'e-mail malveillant. Comme souvent, pour tromper la vigilance de ces personnes, des sous-domaines connus (ceux de grands quotidiens par exemple) étaient intégrés aux URL de ces sites malveillants :

  • www.elmundo.linkconf.net
  • www.guardian.linkconf.net
  • www.washingtonsblog.linkconf.net

Différentes failles de sécurités étaient utilisées, dans Flash, Java, des plug-ins pour Chrome ou dans Chrome lui-même. Le bac à sable du navigateur de Google avait été défait lors d'un concours en 2012 par les Français de Vupen, rappelle Kaspersky (lire CanSecWest : Chrome s'effondre deux fois). Ceux-ci avaient refusé de détailler leur technique, la réservant à leurs clients. Kaspersky émet l'hypothèse que la méthode pour exploiter cette faille a été vendue par Vupen aux auteurs de Careto. Kaspersky détaille le mode opératoire de cette campagne dans un PDF.

avatar mansour | 

La capital du Maroc c'est Rabat il me semble or la carte indique Marrakech

avatar noooty | 

@skynext :
Généralement, les américains placent Paris à Venise, et le Danemark en Espagne... S'agirait-il d'une nouveauté de la NSA?

avatar John Maynard Keynes | 

combien d'Européens peuvent placer sur une carte :
-Montgomery
-Little Rock
-Hartford
-Tallahassee
-Frankfort
...

et j’en passe

avatar watat | 

C'est ça ,depuis quelques jours Kaspersky a l'air très gentil. Après Sochi, ils jouent une fois de plus aux sauveurs. Et pourtant si on s'y penche un peu plus, c'est probablement Kaspersky lui même l'éditeur de ces programmes malveillants .
Mais pourquoi donc? Beh pour nous proposer ses anti-virus évidemment !

avatar jbendayan | 

Careto n'est pas de l'espagnol, masque se dit careta ou mascara.

avatar colossus928 | 

c''est pas vraiment un virus au final, ça me fait plutôt penser à du fishing...

avatar oMc | 

Du pishing plutôt :D

avatar Hideyasu | 

Ouvrir un mail douteux pour regarder le lien ...
Sans commentaires ! Puis comme d'habitude mes failles habituelles : Java & flash ...

Il serait temps qu'adobe se préoccupe de la sécurité de ses logiciels !

avatar Oracle | 

@Hideyasu :
Java c'est pas Adobe, c'est Oracle. Ils parlent d'exploitation de failles touchant de vieux composants (jusqu'a Chrome), les failles ont beau avoir été bouchées si les gens vivent sur de vieux systèmes ils restent exposés.

avatar empereur_kuzco | 

Splendide!

avatar Oracle | 

Et puisque JE suis Oracle, je vais vous faire une confidence : Java va bientôt faire parti du passé, Borneo 1.0 est bientôt prêt ! C'est la même chose que Java mais avec un soleil en guise de logo et ça change tout

CONNEXION UTILISATEUR