+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 573
    Points : 85 704
    Points
    85 704

    Par défaut Des chercheurs de Kaspersky découvrent de façon fortuite le spyware ultrasophistiqué Slingshot

    Des chercheurs de Kaspersky découvrent de façon fortuite le spyware ultrasophistiqué Slingshot,
    qui a réussi à échapper à toute détection depuis 2012

    À l’occasion du Security Analyst Summit qui s’est tenu à Cancún au Mexique du 7 au 11 mars dernier, les chercheurs de Kaspersky ont donné plus de détails sur Slingshot, un logiciel malveillant furtif qui est resté caché pendant au moins six ans (depuis au moins 2012).

    Slingshot, qui tire son nom du texte trouvé dans certains des échantillons récupérés, est l'une des plateformes d'attaque les plus avancées jamais découvertes, ce qui signifie qu'elle a probablement été développée pour un pays disposant de ressources suffisantes, ont rapporté les chercheurs. La sophistication du malware rivalise avec celle de Regin (la porte dérobée avancée qui a infecté Belgacom belge et d'autres cibles de haut niveau depuis des années) et Project Sauron, un autre malware soupçonné d'être développé par un État-nation qui est également resté caché durant des années.

    Slingshot est utilisé comme chargeur initial. Il remplace une DLL système existante par une DLL malveillante qui aura exactement la même taille. Kaspersky indique avoir remarqué que les attaquants remplacent scesrv.dll plus souvent que les autres DLL. Cependant, dans certains cas, il est arrivé que les attaquants remplacent également spoolsv.exe.

    En plus de cela, il interagit avec plusieurs autres modules parmi lesquels un chargeur ring-0, un renifleur réseau en mode noyau, un système de fichiers virtuel entre autres.

    Alors que, pour la plupart des victimes, le vecteur d'infection de Slingshot reste inconnu, les chercheurs de Kaspersky ont pu trouver plusieurs cas où les attaquants ont eu accès aux routeurs Mikrotik et se sont servis d’un utilitaire de configuration MikroTik appelé Winbox via lequel ont été téléchargés des fichiers de bibliothèque de liens dynamiques. L'un des fichiers, ipv4.dll, est un agent de téléchargement malveillant créé par les développeurs de Slingshot. Winbox transfère ipv4.dll à l'ordinateur de la cible, le charge dans la mémoire et l'exécute.


    Les chercheurs précisent que :

    « Cette DLL se connecte ensuite à une adresse IP et un port codés en dur (dans tous les cas, nous avons vu que c'était l'adresse IP du routeur), télécharge les autres composants malveillants et les exécute.

    « Pour exécuter son code en mode noyau dans les versions les plus récentes des systèmes d'exploitation dotés de l'autorité de signature de pilote, Slingshot charge les pilotes vulnérables signés et exécute son propre code via leurs vulnérabilités.

    « Après l'infection, Slingshot chargerait un certain nombre de modules sur le périphérique victime, y compris deux modules puissants : Cahnadr, le module en mode noyau, et GollumApp, un module en mode utilisateur. Les deux modules sont connectés et capables de se soutenir mutuellement dans la collecte d'informations, la persistance et l'exfiltration de données.

    « Le module le plus sophistiqué est GollumApp. Il contient près de 1500 fonctions de code utilisateur et fournit la plupart des routines décrites ci-dessus pour la persistance, le contrôle du système de fichiers et les communications C&C.

    « Canhadr, également connu sous NDriver, contient des routines de bas niveau pour les opérations de réseau, d'E/S, etc. Son programme en mode noyau est capable d'exécuter du code malveillant sans écraser tout le système de fichiers ou provoquer Blue Screen – une réalisation remarquable. Écrit en langage C pur, Canhadr/Ndriver fournit un accès complet au disque dur et à la mémoire de fonctionnement malgré les restrictions de sécurité des périphériques, et [il] effectue le contrôle d'intégrité des divers composants système pour éviter le débogage et la détection de sécurité. »

    Les chercheurs ont déclaré que Slingshot pourrait avoir utilisé d'autres méthodes, y compris des vulnérabilités zero-day, pour se propager.

    Les possibilités d'exploitation sont multiples : captures d’écran, keylogger, collecte de données de réseau, de mots de passe, du presse-papier, pour ne citer que celles-là.

    Slingshot se distingue également par sa capacité à passer sous le radar grâce à une multitude d’astuces mises en œuvre. Par exemple, il dispose de son propre espace de fichiers chiffrés stockés sur le disque dur de l’ordinateur infecté. Slingshot se fend même d’une stratégie dite « antidébogage » spécifique qui adopte les contre-mesures suivant les différentes solutions de sécurité.

    D'autres techniques furtives incluent le chiffrement de toutes les chaînes de texte dans ses différents modules, l'appel direct aux services système pour contourner les hooks utilisés par les produits de sécurité, et sa capacité à éteindre certains de ses modules lorsqu'il détecte la présence de logiciels antivirus.

    Si MikroTik affirme être en train de patcher ses routeurs, l'éditeur estime que d'autres fabricants pourraient être touchés.

    Source : Kaspersky, rapport Slingshot (au format PDF)

    Et vous ?

    Que pensez-vous de ce spyware ?
    Une telle découverte vous fait-elle penser qu'il peut y avoir de nombreux spywares, non démasqués de nos jours, qui opèrent depuis des années ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    I.A. en bêta-test Avatar de MikeRowSoft
    Homme Profil pro
    Sans profession
    Inscrit en
    avril 2013
    Messages
    1 751
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 751
    Points : 546
    Points
    546

    Par défaut

    La malhonnêteté existe depuis bien avant l'informatique !
    Alors qu'il y en a pas me surprendrai plus que tout.

  3. #3
    Membre émérite Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    781
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 781
    Points : 2 363
    Points
    2 363

    Par défaut

    J'en pense que ce spyware provient d'un état occidental.
    Y en a-t-il d'autres ? A priori comme a fortiori, par expérience, la réponse devient affirmative dès lors qu'on a procédé à des audits.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

Discussions similaires

  1. Réponses: 0
    Dernier message: 07/03/2017, 15h49
  2. Réponses: 4
    Dernier message: 11/08/2016, 17h29
  3. Des chercheurs en sécurité découvrent Dexter
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 6
    Dernier message: 19/12/2012, 19h34
  4. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 11h04
  5. Réponses: 36
    Dernier message: 01/04/2010, 08h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo