En analysant le malware Flame, Kaspersky Lab a découvert plusieurs autres malwares tels que Gauss et SPE plus récemment.

En mai 2012, Kaspersky Lab a découvert Flame ce qui a conduit à la découverte de Gauss. Mais c’est l’analyse des modules des serveurs de C&C (Command and Control) de Flame qui a révélé l’existence d’autres outils de cyber-espionnage comme SPE.

Début juillet 2012, Kaspersky a détecté un petit module de Flame : SPE, capable de fonctionner par lui-même. SPE est un malware développé dès 2007 pour le cyber-espionnage capable de fonctionner seul ou comme faisant partie intégrante de Flame ou de Gauss. Les chercheurs de Kaspersky pensent qu’ils existent une douzaine de variantes de miniFlame. Pour l’instant ils n’en ont trouvé que six, la plus récente étant la 5.00.

Des liens entre SPE, Flame et Gauss

En analysant une dizaine de variantes de Flame, ils sont tombés sur un fichier : “icsvnt32.ocx” qui infecte les terminaux connectés en USB et dérobe leurs données. Ce fichier ne faisait pas partie de la liste de suppression des fichiers de Flame envoyée par ses auteurs en mai 2012.

Gauss utilise une série de plusieurs modules qui change selon le système infecté. Kaspersky a découvert que dans des systèmes au Liban, Gauss utilisait un module supplémentaire dont le nom de code est John. Le fichier “icsvnt32.ocx” était contenu dans ce module. SPE implémente une backdoor client/serveur qui permet à l’opérateur du malware d’avoir un accès complet au système infecté.

Cela confirme le fait que miniFlame est un module unique qui peut être utilisé en conjonction avec Flame et Gauss.

 

Alors que Flame et Gauss ont infecté plus de 10 000 systèmes, SPE a été détecté dans seulement une cinquantaine de systèmes au Moyen-Orient. Il est principalement utilisé pour s'introduire sur des sites stratégiques afin d’obtenir un accès privilégié à leurs machines.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143962
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI