Sandworm, un Malware russe sous Windows qui n'a pas été détecté depuis 5 ans

malware-sandworm-russe

On vient de découvrir une campagne de cyber-espionnage menée par la Russie qui dure depuis près de 5 ans grâce à une faille de type Zero Day concernant les versions de Windows. Les chercheurs d’iSight ont découvert cette attaque après des recherches qui ont été déjà effectués par F-Secure. Mais iSight a pu déterminer l’origine des attaques,leurs cibles et les moyens utilisés.

La faille concerne le format Powerpoint qui permet aux pirates de lancer un code hostile dès qu’on clique sur le fichier infecté. Cette faille est présente dans toutes les versions de Windows depuis Windows Vista et cette attaque est en cours depuis 2009. Mais Sandworm n’est pas un malware ordinaire, car il cible uniquement l’OTAN, l’Union Européenne, les compagnies de télécoms, les agences de défense ainsi qu’un institut académique qui est lié aux Etats-Unis sur la question Ukrainienne. L’exploit permet de pirater des documents et d’espionner les échanges de mails sur les PC qui sont connectés par Sandworm. Le ver recherche particulièrement des documents liés à la situation en Ukraine et à ceux qui sont hostiles au gouvernement Russe. De même, il peut voler les clés SSL et des certificats de sécurité.

Le nom de Sandworm vient du film Dune et la planète Arrakis où il y avait d’énormes créatures qui vivaient dans le désert et qui étaient vénérés comme des Dieux. iSight a déclaré que de nombreuses URL, critères et entêtes de cette attaque faisait référence au film Dune laissant à penser que l’auteur est un grand fan de cette saga.

Etant donné que cette attaque vise uniquement les organisations sensibles et les gouvernements, il semble que Sandworm soit une opération gouvernementale russe pour intercepter des informations confidentielles sur les négociations et la politique entreprise par l’UE et l’OTAN à l’encontre de la Russie.

Source

Publicités