LuckyMouse introduit un malware au moyen d’un certificat authentique à des fins d’espionnage géopolitique

Posted On 12 Sep 2018

L’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a découvert plusieurs infections par un cheval de Troie jusque-là inconnu, très vraisemblablement lié à l’acteur malveillant sinophone, LuckyMouse. La particularité de ce malware réside dans son pilote soigneusement choisi avec un certificat numérique authentique. Emis par un éditeur de logiciels de sécurité informatique.

LuckyMouse est connu pour ses attaques extrêmement ciblées contre de grandes institutions à travers le monde. Son activité met en danger des régions entières, notamment le Sud-Est asiatique et l’Asie centrale. Les attaques paraissent avoir un mobile politique. À en juger par le profil des victimes et les vecteurs d’attaque précédemment employés par ce groupe, les chercheurs de Kaspersky Lab pensent que le cheval de Troie a une mission de cyberespionnage pour le compte d’un Etat.

Le cheval de Troie a infecté un ordinateur cible via un logiciel pilote créé par les auteurs de l’attaque. Cela leur a permis d’exécuter toutes sortes de tâches courantes (commandes, téléchargement de fichiers, interception du trafic réseau…).

LuckyMouse

Le pilote constitue l’aspect le plus intéressant de cette campagne. Afin que celui-ci inspire confiance, le groupe a apparemment dérobé un certificat numérique. Il appartient à un développeur de logiciels de sécurité informatique. Il l’a utilisé pour signer des échantillons de malware. Le but était d’éviter la détection par des solutions de sécurité. La signature légitime donnant au malware l’aspect d’un logiciel licite.

Une autre caractéristique notable du pilote est qu’en dépit de la capacité de LuckyMouse à créer ses propres logiciels malveillants, celui employé dans l’attaque semble être une combinaison d’échantillons de code disponibles dans le domaine public et de malwares personnalisés. Cette simple adoption de code tiers prêt à l’emploi, plutôt que d’écrire du code original, fait gagner du temps aux développeurs et rend l’attribution plus difficile.

« Lorsqu’une nouvelle campagne LuckyMouse fait son apparition, c’est presque toujours à la veille d’un grand événement politique et une attaque précède généralement les sommets de dirigeants mondiaux. Les auteurs ne semblent pas s’inquiéter d’une possible attribution : du fait qu’ils utilisent à présent des échantillons de code tiers dans leurs programmes, il ne leur faut pas longtemps pour ajouter une couche supplémentaire à leurs outils d’injection ou créer une variante du malware tout en restant intraçables », observe Denis Legezo, chercheur en sécurité chez Kaspersky Lab.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.