Kaspersky Lab

 

Communiqués de Presse

31.07.2014

Crouching Yeti : une campagne d’espionnage en cours visant plus de 2800 cibles connues à travers le monde

La campagne Crouching Yeti, alias Energetic Bear, se caractérise entre autres par de nouveaux outils malveillants et une liste étendue de victimes. Le texte complet de l’étude est disponible sur le site securelist.com

 

Kaspersky Lab annonce la publication d’une analyse complète et approfondie du malware et de l’infrastructure de serveurs de commande et contrôle (C&C) de la campagne de cyberespionnage dénommée Crouching Yeti. Cette analyse a été réalisée par l’équipe GReAT (Global Response & Emergency Team) de Kaspersky Lab.

 

Si les origines de cette campagne remontent à la fin de l’année 2010, celle-ci n’en est pas moins extrêmement virulente aujourd’hui, ciblant chaque jour de nouvelles victimes.

 

De nombreux secteurs visés.

Le malware Energetic Bear / Crouching Yeti est impliqué dans plusieurs campagnes de menaces persistantes avancées (APT). Selon l’étude de Kaspersky Lab, ses victimes paraissent représenter un plus grand nombre d’entreprises que ce qui avait été supposé jusque-là. Les plus nombreuses appartiennent aux secteurs suivants :

·         Processus industriels/machines-outils

·         Fabrication

·         Industrie pharmaceutique

·         Bâtiment

·         Education

·         Informatique

 

Le nombre total de victimes recensées à travers le monde dépasse 2800, parmi lesquelles les chercheurs de Kaspersky Lab ont pu identifier 101 entreprises. L’ampleur de cette liste semble indiquer un intérêt de Crouching Yeti pour des cibles stratégiques mais aussi pour de nombreuses autres institutions moins en vue. Selon les experts de Kaspersky Lab, il pourrait s’agir de victimes collatérales mais l’on pourrait tout aussi bien considérer Crouching Yeti à la fois comme une campagne très ciblée dans des domaines spécifiques et comme une campagne de surveillance ratissant plus large dans différents secteurs.

 

Les entreprises attaquées se situent essentiellement aux Etats-Unis, en Espagne, au Japon ainsi qu’en Allemagne, France, Italie, Turquie, Irlande, Pologne et Chine. Compte tenu de la nature des victimes identifiées, le principal risque pour elles est la fuite d’informations très sensibles telles que des secrets de fabrication et du savoir-faire.

 

Des outils malveillants avec de multiples modules supplémentaires.

Crouching Yeti n’est pas vraiment une campagne sophistiquée. Par exemple, les auteurs des attaques n’ont pas exploité de failles « zero day » mais uniquement des vulnérabilités largement documentées sur Internet. Cela n’empêche toutefois pas cette campagne d’être active depuis plusieurs années.

 

Les chercheurs de Kaspersky Lab ont découvert des indices signalant l’existence de cinq types d’outils malveillants employés par les auteurs des attaques pour dérober des informations clés sur les systèmes infectés :

·         Havex (cheval de Troie)

·         Sysmain (cheval de Troie)

·         The ClientX (backdoor)

·         Karagany (backdoor et stealers apparentés)

·         Outils indirects de type « lateral movement » et « second stage »

 

L’outil le plus largement utilisé est le cheval de Troie Havex. Au total, les chercheurs de Kaspersky Lab ont découvert pas moins de 27 versions distinctes de ce programme malveillant ainsi que plusieurs modules annexes, notamment destinés à la collecte de données auprès de systèmes de contrôle de processus industriels.

 

En ce qui concerne les serveurs C&C, Havex et les autres outils malveillants de Crouching Yeti se connectent à un vaste réseau de sites Web piratés. Ces derniers hébergent les adresses des victimes et diffusent vers les systèmes infectés des commandes ainsi que des modules de malware complémentaires.

 

Ces modules téléchargeables servent en particulier à dérober des mots de passe et des contacts Outlook, à effectuer des captures d’écran mais aussi à rechercher et subtiliser certains types de fichiers : documents texte, tableurs, bases de données, PDF, disques virtuels, listes protégées de mots de passe, clés de sécurité PGP, etc.

 

Espionnage industriel.

Jusqu’à présent, le cheval de Troie Havex est connu pour deux modules très spécifiques destinés à transmettre aux auteurs de l’attaque des données concernant des environnements informatiques industriels particuliers. Le premier d’entre eux est le module scanner OPC, conçu pour siphonner des informations extrêmement détaillées sur les serveurs OPC fonctionnant en réseau local. Ces serveurs sont généralement utilisés en présence de multiples automates industriels.

 

Le scanner OPC s’accompagne d’un outil de scrutation du réseau. Ce second module surveille le réseau local à la recherche de tous les ordinateurs qui écoutent les ports liés aux logiciels OPC/SCADA et tente de se connecter à ces hôtes afin d’identifier un potentiel système OPC/SCADA et d’en transmettre toutes les données aux serveurs C&C.

 

Origine mystérieuse.

Les chercheurs de Kaspersky Lab ont observé plusieurs métacaractéristiques qui pourraient laisser deviner la nationalité des cybercriminels se cachant derrière cette campagne. En particulier, après analyse de l’horodatage de 154 fichiers, ils en ont conclu que la plupart des échantillons avaient été compilés entre 6 h et 16 h (UTC), ce qui pourrait correspondre à toute l’Europe de l’Ouest ou de l’Est.

 

Les experts ont également analysé la langue utilisée dans les messages à l’intérieur du code malveillant : il s’agit de l’anglais (mais écrit par des individus dont ce n’est pas la langue maternelle). À la différence de plusieurs autres chercheurs ayant précédemment étudié cette campagne, les spécialistes de Kaspersky Lab n’ont pas pu conclure formellement si elle était, ou non, d’origine russe. Près de 200 fichiers binaires malveillants et leur contenu opérationnel ne présentent absolument aucun message en caractères cyrilliques (ou leur translittération en alphabet latin), à l’opposé des constatations documentées par Kaspersky Lab après l’analyse des campagnes Red October, Miniduke, Cosmicduke, Snake ou TeamSpy. Enfin, certains indices linguistiques dénotent la présence de locuteurs français et suédois.

 

Nicolas Brulez, chercheur principal en sécurité chez Kaspersky Lab, commente : « Energetic Bear était le premier nom donné à cette campagne par Crowd Strike suivant sa propre nomenclature, le mot Bear (« ours ») faisant référence à une supposée origine russe. Kaspersky Lab continue d’explorer toutes les pistes existantes mais, pour l’heure, aucune preuve solide ne permet de privilégier l’une ou l’autre. En outre, notre analyse démontre que l’objectif global des attaques ne se cantonne pas au seul secteur énergétique. C’est pourquoi nous avons décidé de rebaptiser le phénomène Crouching Yeti, l’allusion au yéti évoquant son origine mystérieuse. »

 

Les experts de Kaspersky Lab poursuivent leurs recherches sur cette campagne, en collaboration avec les pouvoirs publics et des partenaires des différents secteurs. Le texte complet de l’étude est disponible sur le site securelist.com.

 

Détection. Les produits Kaspersky Lab détectent et éliminent toutes les variantes du malware utilisé dans cette campagne, notamment (liste non limitative) : Trojan.Win32.Sysmain.xxx, Trojan.Win32.Havex.xxx, Trojan.Win32.ddex.xxx, Backdoor.MSIL.ClientX.xxx, Trojan.Win32.Karagany.xxx, Trojan-Spy.Win32.HavexOPC.xxx, Trojan-Spy.Win32.HavexNk2.xxx, Trojan-Dropper.Win32.HavexDrop.xxx, Trojan-Spy.Win32.HavexNetscan.xxx, Trojan-Spy.Win32.HavexSysinfo.xxx.

 

À propos de Kaspersky Lab

Kaspersky Lab est le plus grand fournisseur privé de solutions de sécurité informatique dans le monde. La société est classée parmi les 4 premiers fournisseurs de solutions de sécurité informatique pour les particuliers à l'échelle mondiale. Tout au long de ces 15 années d'existence, Kaspersky Lab n'a cessé d'innover et propose aujourd'hui des solutions de sécurité de pointe à destination des grands comptes,  PME/TPE et des particuliers. Le groupe Kaspersky Lab est présent dans près de 200 pays et territoires, offrant une protection à plus de 300 millions d'utilisateurs à travers le monde. Site Web : http://www.kaspersky.com/fr/

 

* La société a été classée quatrième dans le classement IDC Worldwide Endpoint Security Revenue by Vendor, 2011. Ce classement a été publié dans le rapport d'IDC Worldwide IT Security Products 2012-2016 Forecast et parts de marché des fournisseurs 2011 (IDC #235930, Juillet 2012). Le rapport classe les éditeurs de logiciels selon les revenus des ventes de solutions de sécurité en 2011.

 

Pour en savoir plus : www.kaspersky.com/fr/
Pour plus d’informations sur l’actualité virale : http://www.securelist.com
Salle de presse virtuelle Kaspersky Lab :
http://newsroom.kaspersky.eu/fr/

 

Contacts presse

Hotwire pour Kaspersky Lab

Marion Delmas / Charlène Mougeot / Elodie Godart

01 43 12 55 62 / 64 / 68

kasperskyfrance@hotwirepr.com

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Kaspersky Lab on the Web

Virus Analyst Blogs