Nous joindre par : 0890 170 001*

Elder Wood, le couteau Suisse pirate ultime

Il est difficile de lier définitivement l’utilisation d’exploits zero-day à un groupe de pirate précis. Une fois un exploit 0day déployé lors d’une attaque, il peut être désassemblé, copié et fabriqué de nouveau, avec des modifications, dans d’autres attaquants informatiques. Un couteau Suisse très usité dans le black market, qui  servirait de point central aux dernières attaques en date, est montré du doigt. Son nom, ElderWood.

La plate-forme Elderwood est particulièrement facile à décortiquer, ses exploits sont soigneusement séparés de la charge utile qui permet de pirater, infiltrer, sites, serveurs et autres machines connectés. Dans les dernières attaques observées, un modèle de répétition orchestré par les groupes pirates utilisant des 0day Internet Explorer et Flash montrent que les malveillants utilisent les mêmes familles de logiciels d’attaques. Ces exploits partagent aussi de nombreuses similitudes dans leur mise en œuvre. Cette preuve indiquerait qu’il y a un plus grand niveau de communication entre les groupes qui lancent ces attaques.

Pour Symantec, le créateur de Elderwood est très certainement un fournisseur tiers, mais il pourrait aussi être une organisation majeure spécialisée dans le cyber crime avec ses propres équipes. Chose est certaine, les différents groupes exploitant les 0day d’Elderwood ont l’argent et la motivation. Bref, ils présentent une menace sérieuse pour les cibles potentielles.

Elderwood, une arme numérique efficace

Ces derniers mois, quatre groupes ont été ciblés (mais non tracés, ndr) : Hidden Lynx (Invisble Lynx). Ce groupe s’est attaqué à l’industrie de la défense dans une opération baptisée Bonhomme de neige (Snowman). Ils ont surtout exploité le malware ZX Shell via la faille Internet Explorer (CVE-2014-0322). Dans la même famille, Vid grab Team. Cette équipe s’est attaquée aux internautes japonais et aux dissidents Ouïghours. Ils ont été classifiés après la découverte de la backdoor éponyme, ainsi que la porte cachée du nom de Jolob. La première backdoor exploitait un 0day Internet Explorer (CVE-2014-0322), la seconde, une vulnérablité Flash (Adobe – Adobe Flash).

Le troisième groupe de pirates qui passeraient par ElderWood, se nomme Icefog. Ce groupe s’est attaqué à des centaines d’entreprises manufacturières pour voler des bases de données. Les pirates informatiques de cette bande ont exploité des 0day pour les produits Adobe et Microsoft : CVE-2012-0779  ; CVE-2014-0324 via les backdoors Linfo et Hormesu.

Le dernier groupe connu est celui qui laisse penser que la Corée du Nord, La Russie, l’Inde ou encore la Chine sont les points de rapatriement des informations collectées. Le groupe Sakurel s’est attaqué, via quatre 0day (IE et Flash), à des fabricants de moteurs de fusée (missile et aérospatial).

Des outils comme ElderWood qui se vendent comme des petits pains, à l’image de Black Shades, un cheval de Troie que le FBI a mis dans sa ligne de mire en arrêtant, fin mai, plusieurs dizaines d’utilisateurs de part le monde.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr - Journaliste - Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. En savoir plus : https://www.damienbancal.fr

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.