Le Maroc infecté par l’outil le plus avancé en cyber-espionnage

L’outil « careto» en espagnol ou «le masque» en français  est impliqué dans des opérations mondiales de cyber-espionnage depuis au moins 2007. Selon le rapport Unveiling “Careto”-The Masked APT de Kaspersky  , le Maroc est dans le top 5 des pays infectés avec la France, l’Espagne  et plus de  30 pays à travers le monde.Des cibles de choix sont été atteintes notamment des institutions gouvernementales, des bureaux et des ambassades diplomatiques,des secteurs de l’énergie, des sociétés pétrolières et gazières, des organismes de recherche et des activistes

ip des victimes par pays

Le principal objectif des attaquants est de recueillir des données sensibles et confidentielles à partir des systèmes infectés. Il s’agit notamment de documents de bureau, mais également différentes clés de cryptage, de configurations VPN, de clés SSH (servant de moyen d’identification d’un utilisateur à un serveur chiffré ) et de fichiers RDP (utilisés pour ouvrir automatiquement une connexion à un ordinateur à distance) .Careto intercepte tous les canaux de communication et recueille les informations vitales de la machine de la victime.Sa détection est extrêmement difficile en raison de ses capacités de furtivité rootkit, de fonctionnalités intégrées et de modules cyberespionnage supplémentaires.

Plusieurs raisons font croire que cet outil pourrait être une campagne parrainée par un État.Selon le directeur de l’équipe de recherche Kaspersky ,on observe beaucoup de professionnalisme dans les procédures opérationnelles du groupe derrière cette attaque. Cela apparait à travers la gestion de l’infrastructure, l’arrêt des opérations, le fait de masquer les traces par des règles d’accès et l’utilisation de techniques de wiping à la place de la suppression des fichiers journaux. Ces techniques combinées peuvent mettre l’outil en avant des autres APT tels que Duqu, Gauss, RedOctober ou Icefog,en termes de sophistication, ce qui en fait l’une des menaces les plus avancées à l’heure actuelle .

Principaux résultats du rapport :

Durée de la campagne

  •  La campagne a été active pendant au moins cinq ans jusqu’en Janvier 2014 (certains échantillons Careto ont été compilés en 2007).

Victimes

  •  Nous avons compté plus de 380 victimes uniques sur 1000 IP utilisées. Des infections ont été observées en: Algérie, Argentine, Belgique, Bolivie, Brésil, Chine, Colombie, Costa Rica, Cuba, Égypte, France, Allemagne, Gibraltar, Guatemala, Iran, Irak, Libye, Malaisie, Maroc, Mexique, Norvège, Pakistan , Pologne, Afrique du Sud, Espagne, Suisse, Tunisie, Turquie, Royaume-Uni, Etats-Unis et Venezuela.

Sophistication

  •  La complexité et l’universalité de l’ensemble des outils utilisés par les attaquants rendent cette opération de cyberespionnage très spéciale. Notamment parce qu’elle utilise des exploits sophistiques , Le masque a également utilisé une attaque personnalisée contre les produits de Kaspersky Lab.

Vecteurs d’attaques

  • Parmi les vecteurs de l’attaque, au moins un Adobe Flash Player exploit (CVE-2012-0773) a été utilisé. Il a été conçu pour les versions de Flash Player antérieures à 10.3 et 11.2. Cet exploit a été initialement découvert par VUPEN et a été utilisé en 2012 pour échapper à la sandbox de Google Chrome pour gagner le concours CanSecWest Pwn2Own.
  • La campagne de careto  s’appuie sur des e-mails phishing avec des liens vers un site Web malveillant. Le site Web malveillant contient un certain nombre d’exploits conçus pour infecter les visiteurs, en fonction de la configuration du système.

La plupart les résultats statistiques de Kaspersky ont été calculés par l’analyse des flux des connexions redirigés depuis certains domaines utilisés par les serveurs de commande et ne tiennent pas toujours compte des données historiques dans les fichiers log ce qui rend le nombre de victimes potentiellement beaucoup plus grand.

2 commentaires pour “Le Maroc infecté par l’outil le plus avancé en cyber-espionnage”

  1. Je ne crois pas que c’est un outil américain, pourquoi les américains vont s’intéresser aux données des Marocains, et non pas des grandes nations comme la Chine, Russie, Japan, …

  2. On ignore encore pour l’instant qui a créé ce virus dangereusement sophistiqué, mais ce qui est sûr c’est qu’il y a quelques choses qui les intéressent chez nous, que nous soyons une grande nation ou pas.

Laisser un Commentaire