Pour les découvertes inattendues, en voici une. L’équipe de recherche en sécurité de Kaspersky Lab a annoncé jeudi la découverte de «The Mask» (alias «Careto»). Il s’agit d’une menace avancée, en langue espagnole, incluse dans des opérations de cyber-espionnage et actives depuis au moins 2007. Selon les chercheurs, la particularité de «The Mask» réside dans la complexité des outils employés par les auteurs des attaques. Il s’agit de malwares extrêmement élaborés, notamment un «rootkit», un «bootkit», des versions Mac OS X et Linux, voire des versions pour Android et iOS (iPad/iPhone).
Leurs attaques ciblent principalement des administrations, des représentations diplomatiques et des ambassades, des compagnies pétrolières, gazières et énergétiques, des laboratoires de recherche et des activistes. Les victimes de ces attaques se répartissent dans 31 pays à travers le monde dont le Maroc est le plus ciblé, allant du Moyen-Orient à l’Europe, de l’Afrique au continent américain.
Les auteurs des attaques ont essentiellement pour objectif de collecter des données sensibles auprès des systèmes infectés : documents de travail mais aussi diverses clés de cryptage, configurations VPN, clés SSH (permettant d’identifier un utilisateur sur un serveur SSH) et fichiers RDP (utilisés par le logiciel Remote Desktop Client pour ouvrir automatiquement une connexion avec un ordinateur réservé).
«Plusieurs raisons nous amènent à penser que cette campagne pourrait être commanditée par certains Etats. Avant tout, nous avons observé un très haut degré de professionnalisme dans les procédures opérationnelles du groupe qui se cache derrière cette attaque, depuis la gestion des infrastructures, la clôture de l’opération, la dissimulation au moyen de règles d’accès et l’effacement du contenu des fichiers journaux au lieu de leur suppression», commente Costin Raiu, directeur de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab.
