Des hackers d'élite volent l'historique des antivirus pour voir si leur malware est détecté - Cyberguerre
by François ManensDes chercheurs d'ESET ont découvert une nouvelle version de la backdoor ComRAT, utilisée par les hackers d'élites de Turla pour dérober des documents confidentiels.
Ce malware mute depuis 2008, et sa quatrième version est plus complexe que jamais. ComRAT, développé par les hackers d’élite de Turla, a de nouveau été repéré en janvier par les chercheurs d’ESET.
Les cyberespions ont utilisé leur outil pour s’en prendre à trois institutions, dont deux ministères des Affaires étrangères, que l’entreprise ne peut pas nommer pour des raisons de sécurité nationale. Turla est un spécialiste de ces coups : il s’en prend aux diplomates et aux militaires susceptibles de détenir des informations secret-défense.
ComRAT n’est qu’un de leurs outils parmi tout un arsenal. Il s’agit d’une backdoor : une fois déployée, elle permet aux hackers de faire rentrer toutes sortes de malwares sur le système infecté. Dans l’autre sens, les pirates peuvent aspirer les données qu’ils étaient venus chercher.
La version v4 du malware découvert par ESET est encore plus furtif, et ce n’est pas tout : il vole désormais les logs — en quelque sorte l’historique — des protections du système qu’il attaque. Les hackers de Turla peuvent ainsi voir si ComRAT a été repéré, et si c’est le cas, ils peuvent déduire quel élément de leur code a déclenché l’alarme. Ils n’ont plus qu’à l’adapter pour passer outre, et redevenir parfaitement indétectables lors de leur prochaine attaque (avant une éventuelle mise à jour des outils de protection).
ComRAT passe par Gmail pour dissimuler ses traces
Dans son communiqué, ESET s’inquiète de cette nouvelle propriété, qu’il qualifie de « préoccupante ». Matthieu Faou précise : « Cela montre le niveau de sophistication de ce groupe et son intention de s’implanter à long terme dans les machines. » Dans une interview à ZDNet, il ajoute que le vol de l’information des antivirus est de plus en plus répandu chez les groupes de cybercriminels avancés, qui veulent savoir s’ils ont laissé des traces de leur attaque.
La version ComRAT v4 découverte par ESET, a la particularité d’utiliser l’interface web de Gmail comme canal de diffusion. « Grâce à Gmail, la dernière version de ComRAT est capable de contourner certains contrôles de sécurité, car elle n’utilise aucun domaine malveillant », explique le chercheur Matthieu Faou dans le communiqué de l’entreprise. Pour se faire, la backdoor va charger un cookie sur un des navigateurs (Chrome, Firefox, Edge…) du système infecté. Puis elle va lancer une session sur Gmail. Le malware peut ensuite accéder à une boîte de réception et télécharger toutes sortes de pièces jointes. Les hackers attachent également des instructions d’utilisation que le logiciel malveillant peut appliquer. Concrètement : les cybercriminels n’ont qu’à envoyer un email pour lancer une nouvelle attaque.
ComRAT est régulièrement mis à jour
ComRAT a été découvert pour la première fois en 2008, lorsque ses opérateurs s’en étaient servi pour exfiltrer des documents du Pentagone américain. Étant donné le statut de la victime, l’affaire avait fait grand bruit. À l’époque, ComRAT devait passer par un disque pour atteindre le système ciblé. Depuis ce premier épisode, la backdoor réapparait à intervalle régulier sur tous les continents, et environ tous les 3 ans, il évolue en une version plus virulente.