LuckyMouse introduit un malware au moyen d’un certificat authentique à des fins d’espionnage géopolitique

L’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a découvert plusieurs infections par un cheval de Troie jusque-là inconnu, très vraisemblablement lié à l’acteur malveillant sinophone, LuckyMouse. La particularité de ce malware réside dans son pilote soigneusement choisi avec un certificat numérique authentique. Emis par un éditeur de logiciels de sécurité informatique.

LuckyMouse est connu pour ses attaques extrêmement ciblées contre de grandes institutions à travers le monde. Son activité met en danger des régions entières, notamment le Sud-Est asiatique et l’Asie centrale. Les attaques paraissent avoir un mobile politique. À en juger par le profil des victimes et les vecteurs d’attaque précédemment employés par ce groupe, les chercheurs de Kaspersky Lab pensent que le cheval de Troie a une mission de cyberespionnage pour le compte d’un Etat.

Le cheval de Troie a infecté un ordinateur cible via un logiciel pilote créé par les auteurs de l’attaque. Cela leur a permis d’exécuter toutes sortes de tâches courantes (commandes, téléchargement de fichiers, interception du trafic réseau…).

LuckyMouse

Le pilote constitue l’aspect le plus intéressant de cette campagne. Afin que celui-ci inspire confiance, le groupe a apparemment dérobé un certificat numérique. Il appartient à un développeur de logiciels de sécurité informatique. Il l’a utilisé pour signer des échantillons de malware. Le but était d’éviter la détection par des solutions de sécurité. La signature légitime donnant au malware l’aspect d’un logiciel licite.

Une autre caractéristique notable du pilote est qu’en dépit de la capacité de LuckyMouse à créer ses propres logiciels malveillants, celui employé dans l’attaque semble être une combinaison d’échantillons de code disponibles dans le domaine public et de malwares personnalisés. Cette simple adoption de code tiers prêt à l’emploi, plutôt que d’écrire du code original, fait gagner du temps aux développeurs et rend l’attribution plus difficile.

« Lorsqu’une nouvelle campagne LuckyMouse fait son apparition, c’est presque toujours à la veille d’un grand événement politique et une attaque précède généralement les sommets de dirigeants mondiaux. Les auteurs ne semblent pas s’inquiéter d’une possible attribution : du fait qu’ils utilisent à présent des échantillons de code tiers dans leurs programmes, il ne leur faut pas longtemps pour ajouter une couche supplémentaire à leurs outils d’injection ou créer une variante du malware tout en restant intraçables », observe Denis Legezo, chercheur en sécurité chez Kaspersky Lab.