{"id":4219,"date":"2020-06-19T04:18:29","date_gmt":"2020-06-19T04:18:29","guid":{"rendered":"https:\/\/www.affinite.fr\/index.php\/2020\/06\/19\/les-incroyables-techniques-de-dissimulation-des-pirates-dinvisimole\/"},"modified":"2020-06-19T04:18:29","modified_gmt":"2020-06-19T04:18:29","slug":"les-incroyables-techniques-de-dissimulation-des-pirates-dinvisimole","status":"publish","type":"post","link":"https:\/\/www.affinite.fr\/index.php\/2020\/06\/19\/les-incroyables-techniques-de-dissimulation-des-pirates-dinvisimole\/","title":{"rendered":"Les incroyables techniques de dissimulation des pirates d\u2019InvisiMole"},"content":{"rendered":"<p> [ad_1]<br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<p>Une nouvelle campagne de cyberespionnage, probablement d\u2019origine russe, cible actuellement les organisations diplomatiques et militaires en Europe de l\u2019Est. Les chercheurs en s\u00e9curit\u00e9 d\u2019Eset ont pu mener des enqu\u00eates sur site et r\u00e9v\u00e9ler un mode op\u00e9ratoire particuli\u00e8rement sophistiqu\u00e9, qui prend appui sur les backdoors du groupe InvisiMole, \u00e0 savoir RC2CL et RC2FM. Ces malwares ont \u00e9t\u00e9 d\u00e9couverts par Eset en 2018, avec de premi\u00e8res instances qui remontent \u00e0 2013. Elles disposent de nombreuses fonctionnalit\u00e9s\u00a0: vol de documents, enregistrement audio et vid\u00e9o, g\u00e9olocalisation, etc.<\/p>\n<aside class=\"bg-color-0 padding-inside-all-s bloc border-s\">\n<h4 class=\"box-txt-normal\">\n<p><b>A d\u00e9couvrir aussi en vid\u00e9o<\/b><\/p>\n<\/h4>\n<\/aside>\n<p>La nouvelle enqu\u00eate r\u00e9v\u00e8le la mani\u00e8re dont ces backdoors sont install\u00e9es. Et c\u2019est du lourd. L\u2019infection initiale est assur\u00e9e par les pirates de Gamaredon, un groupe connu depuis des ann\u00e9es que les services secrets ukrainiens ont attribu\u00e9 \u00e0 l\u2019agence de renseignement russe FSB. Eset n\u2019en tire aucune conclusion sur l\u2019attribution d\u2019InvisiMole, mais compte tenu de <a data-cke-saved-href=\"https:\/\/www.01net.com\/actualites\/les-hackers-de-poutine-sont-desormais-tous-regroupes-sur-une-carte-interactive-1774595.html\" target=\"_blank\" href=\"https:\/\/www.01net.com\/actualites\/les-hackers-de-poutine-sont-desormais-tous-regroupes-sur-une-carte-interactive-1774595.html\" rel=\"noopener noreferrer\">la concurrence qui r\u00e8gne entre les agences russes<\/a>, il est probable que les pirates d\u2019InvisiMole appartiennent \u00e0 la m\u00eame boutique.<\/p>\n<p>Les techniques utilis\u00e9es par Gamaredon sont assez classiques\u00a0: des e-mails avec des pi\u00e8ces jointes v\u00e9rol\u00e9es sont envoy\u00e9s aux victimes. Si le document est ouvert, un script VBS va t\u00e9l\u00e9charger un premier malware. C\u2019est ensuite que les choses vont devenir plus complexes. Les chercheurs ont identifi\u00e9 quatre chemins d\u2019installation diff\u00e9rents, souvent assez longs.<\/p>\n<figure class=\"figure text-center\"><img decoding=\"async\" class=\"article-img img-responsive-l\" src=\"https:\/\/img.bfmtv.com\/c\/0\/708\/89e\/9e5c5c97ce63c330690e741eafde9.jpg\" alt=\"\"\/><figcaption class=\"figure-caption figcaption color-txt-0 title-xs hidden-xs\">\n                                    Eset<br \/>\n                                                    &#8211; Les chemins d&rsquo;installation d&rsquo;InvisiMole<br \/>\n                            <\/figcaption><\/figure>\n<p>Au cours de ces diff\u00e9rentes \u00e9tapes, les pirates vont installer des logiciels ou des drivers l\u00e9gitimes, mais vuln\u00e9rables, qu\u2019ils vont utiliser comme vecteur de piratage pour une prochaine \u00e9tape. Dans les derni\u00e8res \u00e9tapes, les codes malveillants sont chiffr\u00e9s au travers de l\u2019interface de programmation Data Protection API de Windows. Celle-ci est g\u00e9n\u00e9ralement utilis\u00e9e pour prot\u00e9ger localement des mots de passe ou des cookies. L\u2019avantage pour les pirates, c\u2019est que le chiffrement et le d\u00e9chiffrement ne peuvent s\u2019effectuer que sur la machine en question. Ce qui r\u00e9duit consid\u00e9rablement la capacit\u00e9 d\u2019analyse des \u00e9ventuels dispositifs de s\u00e9curit\u00e9.<\/p>\n<h3 style=\"color:#333; font-family:arial,helvetica,sans-serif; font-size:23px; font-weight:700\">Brouiller les pistes au maximum<\/h3>\n<p>Pour infecter les machines de proche en proche, les hackers d\u2019InvisiMole utilisent deux techniques. La premi\u00e8re est le piratage par le r\u00e9seau qui s\u2019appuie sur des failles connues (EternalBlue dans le protocole SMB, BlueKeep dans le protocole RDP). La seconde s\u2019appuie sur des chevaux de Troie, en occurrence des archives ou des documents PDF v\u00e9rol\u00e9s. Enfin, les pirates utilisent une technologie de tunneling par DNS pour transmettre les messages depuis leurs serveurs de commande et contr\u00f4le.<\/p>\n<p>Toutes ces techniques sont l\u00e0 pour brouiller les pistes au maximum et assurer une persistance maximale dans les syst\u00e8mes cibl\u00e9s. La bonne nouvelle, c&rsquo;est qu&rsquo;elles viennent d&rsquo;\u00eatre d\u00e9voil\u00e9es et que les administrateurs syst\u00e8me ont d\u00e9sormais des \u00e9l\u00e9ments pour les d\u00e9tecter.<\/p>\n<p><strong>Source<\/strong>: <a href=\"https:\/\/www.welivesecurity.com\/2020\/06\/18\/digging-up-invisimole-hidden-arsenal\/\" target=\"_blank\" rel=\"noopener noreferrer\">Eset<\/a><\/p>\n<\/p><\/div>\n<p><script>\n         !function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function()\n         {n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}\n         ;if(!f._fbq)f._fbq=n;\n             n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0;\n             t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window,\n                 document,'script','https:\/\/connect.facebook.net\/en_US\/fbevents.js');\n         fbq('init', '1065890633454496');\n         fbq('track', 'PageView');\n     <\/script><br \/>\n<br \/>[ad_2]<br \/>\n<br \/><a href=\"https:\/\/www.01net.com\/actualites\/les-incroyables-techniques-de-dissimulation-des-pirates-d-invisimole-1935524.html\">Source link <\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[ad_1] Une nouvelle campagne de cyberespionnage, probablement d\u2019origine russe, cible actuellement les organisations diplomatiques et militaires en Europe de l\u2019Est. &hellip; <a href=\"https:\/\/www.affinite.fr\/index.php\/2020\/06\/19\/les-incroyables-techniques-de-dissimulation-des-pirates-dinvisimole\/\" class=\"more-link\">Plus <span class=\"screen-reader-text\">Les incroyables techniques de dissimulation des pirates d\u2019InvisiMole<\/span> <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":4220,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_sitemap_exclude":false,"_sitemap_priority":"","_sitemap_frequency":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-4219","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tous"],"_links":{"self":[{"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/posts\/4219"}],"collection":[{"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/comments?post=4219"}],"version-history":[{"count":0,"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/posts\/4219\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/media\/4220"}],"wp:attachment":[{"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/media?parent=4219"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/categories?post=4219"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/tags?post=4219"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}