L'analyse est le résultat d'une étude conjointe d’ESET et d’Avast
BRATISLAVA, Prague, le 14 mai 2020 – ESET s'est récemment associé à Avast pour étudier un outil d'accès à distance répandu et en constante évolution, qui est doté de fonctionnalités de porte dérobée. ESET l’a baptisé Mikroceen. Dans cette analyse conjointe, les chercheurs ont découvert que Mikroceen était utilisé dans des attaques d'espionnage contre des entités gouvernementales et commerciales (dans les secteurs des télécommunications et du gaz) en Asie centrale.
Les pirates ont réussi à s’implanter dans les réseaux ciblés de manière durable, à manipuler des fichiers et prendre des captures d'écran. Les appareils des victimes sont en mesure d’exécuter différentes commandes qui leur sont fournies à distance par des serveurs de commande et de contrôle.
Les chercheurs ont étudié la mise en œuvre personnalisée du modèle client-serveur de Mikroceen, conçu spécialement pour le cyberespionnage. « Les développeurs du malware ont fait de gros efforts pour sécuriser les connexions client-serveur avec leurs victimes. Le malware est exploité à distance par les opérateurs qui ont réussi à pénétrer dans des réseaux d'entreprises très visibles. Nous avons également constaté qu'un ensemble avancé d'outils d'attaque était utilisé. Il s’agit principalement de variantes de techniques d’obscurcissement, » commente Peter Kálnai, le responsable du personnel ESET dans l'équipe de recherche commune.
Mikroceen est en développement continu. Les chercheurs ont noté qu’il utilisait des fonctions de porte dérobée dans différentes campagnes ciblées depuis fin 2017. Parmi les outils utilisés par les pirates pour se déplacer latéralement dans les réseaux infiltrés, les chercheurs d'ESET et d'Avast ont également identifié Gh0st, un ancien outil d’accès à distance bien connu créé en 2008. Il existe de nombreuses similitudes entre Gh0st et Mikroceen ; la principale différence entre les deux outils étant la sécurisation des connexions par un certificat.
Pour plus de détails techniques sur Mikroceen, lisez l'article « Mikroceen: Spying backdoor leveraged in high profile networks in Central Asia » sur WeLiveSecurity.
Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.