vendredi 5 juin 2020    || Inscription
BanniereNews
 
 

En analysant le malware Flame, Kaspersky Lab a découvert plusieurs autres malwares tels que Gauss et SPE plus récemment.

En mai 2012, Kaspersky Lab a découvert Flame ce qui a conduit à la découverte de Gauss. Mais c’est l’analyse des modules des serveurs de C&C (Command and Control) de Flame qui a révélé l’existence d’autres outils de cyber-espionnage comme SPE.

Début juillet 2012, Kaspersky a détecté un petit module de Flame : SPE, capable de fonctionner par lui-même. SPE est un malware développé dès 2007 pour le cyber-espionnage capable de fonctionner seul ou comme faisant partie intégrante de Flame ou de Gauss. Les chercheurs de Kaspersky pensent qu’ils existent une douzaine de variantes de miniFlame. Pour l’instant ils n’en ont trouvé que six, la plus récente étant la 5.00.

Des liens entre SPE, Flame et Gauss

En analysant une dizaine de variantes de Flame, ils sont tombés sur un fichier : “icsvnt32.ocx” qui infecte les terminaux connectés en USB et dérobe leurs données. Ce fichier ne faisait pas partie de la liste de suppression des fichiers de Flame envoyée par ses auteurs en mai 2012.

Gauss utilise une série de plusieurs modules qui change selon le système infecté. Kaspersky a découvert que dans des systèmes au Liban, Gauss utilisait un module supplémentaire dont le nom de code est John. Le fichier “icsvnt32.ocx” était contenu dans ce module. SPE implémente une backdoor client/serveur qui permet à l’opérateur du malware d’avoir un accès complet au système infecté.

Cela confirme le fait que miniFlame est un module unique qui peut être utilisé en conjonction avec Flame et Gauss.

 

Alors que Flame et Gauss ont infecté plus de 10 000 systèmes, SPE a été détecté dans seulement une cinquantaine de systèmes au Moyen-Orient. Il est principalement utilisé pour s'introduire sur des sites stratégiques afin d’obtenir un accès privilégié à leurs machines.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI