Kaspersky Lab vient de dévoiler une cyberattaque ayant visé son propre réseau ainsi que des cibles « High Profile » dans les Pays Occidentaux, le Moyen-Orient et l’Asie.
Au début du printemps 2015, Kaspersky Lab détectait une cyber-intrusion dans plusieurs de ses systèmes internes. Après enquête, elle serait issue d’une nouvelle plate-forme de malware issue d’une APT (menaces avancées persistantes) bien connue : Duqu.
L’attaque a exploité des vulnérabilités zero-day et après avoir élevé le niveau de privilèges pour devenir administrateur domaine, elle s’est répandue dans le réseau via des fichiers MSI (Microsoft Software Installer), qui sont régulièrement utilisés par les administrateurs système pour déployer des logiciels sur des ordinateurs Microsoft distants. L’attaque n’a laissé derrière elle aucun fichier sur les disques durs et n’a modifié aucun paramètre système, rendant sa détection quasiment impossible. Le mode opératoire et la philosophie du groupe Duqu 2.0 indiquent un bond en avant d’une génération par rapport à tout ce qui a pu être observé en matière d’APT jusqu’à présent.
Les chercheurs de Kaspersky Lab ont également découvert que l’entreprise n’était pas la seule cible. D’autres victimes ont été repérées dans les pays occidentaux, ainsi que dans certains pays du Moyen-Orient et en Asie.
Kaspersky Lab a mené une analyse de l’attaque ainsi qu’un audit de sécurité ; ce dernier incluant la vérification des codes-sources et le contrôle de l’infrastructure de la société. L’audit, à ce jour, est encore en cours. À l’exception du vol de propriété intellectuelle, aucun autre indicateur d’activité malveillante n’a été détecté. L’analyse a révélé que l’objectif premier des assaillants était d’espionner les technologies de Kaspersky Lab, les recherches en cours et les procédures internes. Aucune interférence avec les processus ou les systèmes n’a été détectée.