L’éditeur de solution de sécurité Kaspersky peine à l’avouer, mais il a bien retrouvé un malware sur ses propres serveurs.
Un logiciel espion quasiment indétectable retrouvé sur le réseau de Kaspersky
Ce qui arrive à cet éditeur d’antivirus est plutôt original. Ce dernier l’avoue lui même, le malware qu’il a découvert sur son propre réseau était pratiquement indétectable. Il ne générait pratiquement pas de trafic internet. Ce malware n’utilisait quasiment pas de ressources et ne modifiait pas la base de registre de la machine infectée. Il s’exécutait même dans la mémoire vive de celle-ci.
Une fois repéré, Kaspersky a entrepris une analyse poussée et un pistage sur le web. L’éditeur indique donc qu’il s’agit d’un malware très complet qui se concentre principalement sur la récolte des données réseau, le vol de mots de passe, le contrôle à distance, la recherche de fichiers … Un malware redoutable en somme. Une fois arrivé sur une des machines du réseau de Kaspersky, le malware se déplace de machine en machine sans laisser de traces sur la machine qu’il vient ainsi de quitter. Ce stratagème le rend donc encore moins facilement détectable. Pour infiltrer la première machine, l’éditeur précise que ce malware a utilisé 3 failles de type 0Day que Microsoft a corrigé depuis.
Un malware pas si étranger …
Kaspersky a analysé le code source de ce malware et a découvert qu’il était en partie basé sur celui de Duqu, un malware très célèbre depuis maintenant 4 ans. Il a également découvert que ce malware était très complet et particulièrement bien réalisé et qui toujours selon lui « a pu coûter une dizaine de millions de dollars et mobiliser une équipe d’ingénieurs pour son développement ainsi que son support. » En d’autres terme, ce malware n’est pas le fruit d’un simple hacker mais un travail de longue haleine d’un Etat tout entier.
Depuis cette découverte, Kaspersky a retrouvé ce même malware sur le réseau de trois hôtels de luxe en Suisse. Ces mêmes hôtels qui ont récemment accueillis des négociations autour du nucléaire Iranien. Il semblerait que d’autres cyberattaque aient été découvertes en occident en Asie ou au Moyen-Orient.
A l’heure actuelle, l’éditeur n’a pas encore précisé ni la nature ni la quantité de données qui ont pu être dérobées.