Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mask, la campagne de piratage la plus évoluée à ce jour selon Kaspersky

Sssssplendiiiiide

Mask, la campagne de piratage la plus évoluée à ce jour selon Kaspersky

Le 11 février 2014 à 15h43

L’éditeur Kaspersky vient de consacrer une publication à ce qu’il décrit comme la campagne de type malware la plus élaborée jamais vue. Nommée « Mask », traduction du mot espagnol « Careto », elle supplanterait par sa complexité d’autres campagnes qui avaient largement fait parler d’elles, telles que Flame et Stuxnet.

mask careto kaspersky

Une attaque qui durait depuis plus de cinq ans 

Selon l’éditeur russe Kaspersky, Mask marquera les esprits par la grande complexité de sa mise en œuvre et par les nombreux moyens utilisés pour rendre le malware efficace. Le nom vient tout d’abord du mot « Careto » que les analystes ont pu trouver dans le code du malware. Ensuite, le malware est capable d’accomplir un grand nombre de missions, parmi lesquelles l’enregistrement des frappes au clavier, l’aspiration des conversations Skype et des clés de chiffrement et plus globalement le vol de données sensibles.

 

Son code est conçu pour fonctionner sur les machines Windows, OS X et Linux, ce qui le rend déjà particulier. Bien qu’aucune preuve n’ait été trouvée pour étayer cet aspect, Kaspersky indique cependant que le code suggère une présence sur iOS et Android. Parmi les aspects « troublants » de Mask/Careto, l’éditeur signale que le malware serait en circulation depuis au minimum cinq ans. Il aura fallu la détection de l’exploitation d’une faille dans une ancienne version de son antivirus pour que la société russe découvre la bête.

Mask prend la tête de la sophistication selon Kaspersky 

Mais l’analyse du code fournit de nombreuses autres informations. Toujours selon Kaspersky, Mask serait ainsi conçu pour infecter les ambassades, les agences gouvernementales au sens large, les instituts de recherche, les entreprises du secteur énergétique ou encore certaines industries. La complexité du code serait telle qu’elle rappellerait directement les caractéristiques de Stuxnet, Flame, Duqu, Red October, Icefog et Gauss : le signe tangible de l’implication directe d’un État. C’était notamment le cas de Flame, Kaspersky ayant justement souligné la participation des États-Unis et d’Israël pour la création de ce malware dirigé avant tout contre l’Iran.

 

Pour Kaspersky, Mask est cependant un cran au–dessus de Flame et des autres. Tout commence avec une tentative de phishing visiblement très élaborée pour piéger une personne en particulier. L’objectif est d’emmener cette dernière sur une page web suffisamment bien conçue pour ressembler trait pour trait à un site journalistique connu, tel que le New York Times, le Guardian ou le Washington Post. De là, le faux site va pouvoir détecter la présence éventuelle d’une ou plusieurs failles. C’est le cas notamment d’une brèche dans le lecteur Flash, déjà corrigée, mais qui permet de contourner la sandbox du navigateur.

Un vrai certificat de sécurité fourni par une fausse entreprise 

Mask utilise en outre un kit d’outils particulièrement évolué pour répondre à un grand nombre de situations. On trouve ainsi un rootkit et un bootkit, accompagnés de binaires capables de fonctionner individuellement sur les versions 32 et 64 bits de Windows, OS X et Linux, sans oublier les systèmes mobiles déjà cités. Les binaires Windows sont par ailleurs signés d’un certificat authentique fourni par une fausse entreprise. Un degré de sophistication qui permet au malware de ne pas provoquer d’avertissements particuliers sur le système de Microsoft, et qui relance la polémique de la pertinence des certificats de sécurité quand la chaine de confiance est rompue.

 

Comme de très nombreux autres malwares, Mask/Careto est piloté par des serveurs C&C (Command and Control). Les communications se font de manière chiffrée via un canal HTTPS, mais Kaspersky a pu prendre le contrôle de certaines adresses IP et noms de domaine utilisés par ces serveurs.

 

mask careto kaspersky

 

Pourtant, d’après les résultats de l'éditeur, même s’ils sont sans doute incomplets, le nombre de machines infectées est très bas : environ 380 postes uniques, répartis dans 31 pays et près d'un millier d'adresses IP différentes. En outre, toute la campagne s’est brutalement arrêtée en fin de semaine dernière, en quelques heures. Ce qui n’empêche pas l’éditeur de souligner le « grand professionnalisme dans les procédures opérationnelles du groupe derrière l’attaque ». Les auteurs de Mask ont ainsi surveillé attentivement le comportement de leur infrastructure, ont clos proprement leur opération et ont efficacement supprimé leurs traces.

 

Si le nombre de machines infectées peut sembler plus que limité et refléter peut-être l’échec d’une campagne, il n’en est sans doute rien. Le profil très particulier des cibles indique que lesdites machines sont probablement utilisées par des personnes bien placées dans une agence ou une entreprise importante.

 

Ceux qui souhaitent en savoir davantage sur Mask pourront consulter le très long rapport technique publié par Kaspersky à son sujet.

Commentaires (113)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







W0lf a écrit :



Ils vont être déMaskés j’espère …. <img data-src=" />



Pas la peine de chercher, c’est anonymous les coupables..<img data-src=" /><img data-src=" />



en fait non, c’est lui le coupable


votre avatar



De là, le faux site va pouvoir détecter la présence éventuelle d’une ou plusieurs failles. C’est le cas notamment d’une brèche dans le lecteur Flash, déjà corrigée, mais qui permet de contourner la sandbox du navigateur.





D’où l’intérêt de noscript <img data-src=" />

votre avatar

M.A.S.K. doit trouver beaucoup d’info pour choper V.E.N.O.M. <img data-src=" />

votre avatar



En outre, toute la campagne s’est brutalement arrêtée en fin de semaine dernière, en quelques heures.



La NSA a éteint le serveur ? <img data-src=" />

votre avatar

spa G.I. Joe qui se bat contre MASK normalement ?



…..ok dehors mais fait froid

votre avatar







cid_Dileezer_geek a écrit :



Pas la peine de chercher, c’est anonymous les coupables..<img data-src=" /><img data-src=" />



en fait non, c’est lui le coupable







C’est probablement un coup des “Nazis Astronautes Voyageurs Temporels” à mon avis…



<img data-src=" />



<img data-src=" />


votre avatar

J’ai une question peut-être un peu conne mais… Comment un virus aussi évolué soit-il peut-il infecter un nombre aussi restreint d’ordinateurs appartenant spécifiquement à des agences gouvernementales,des entreprises du secteur énergétique etc… Sans être par défaut présent dans un logiciel particulier lié à ces ordinateurs ou installé directement par quelqu’un ayant accès à ces postes ?

votre avatar







EdDiE a écrit :



spa G.I. Joe qui se bat contre MASK normalement ?



…..ok dehors mais fait froid







Nop

youtube.com YouTube


votre avatar







matroska a écrit :



C’est probablement un coup des “Nazis Astronautes Voyageurs Temporels” à mon avis…



<img data-src=" />



<img data-src=" />



Surement des potes aux hommes-lézards <img data-src=" />


votre avatar







amikuns a écrit :



Nop

youtube.com YouTubeJoli


votre avatar







deepinpact a écrit :



J’ai une question peut-être un peu conne mais… Comment un virus aussi évolué soit-il peut-il infecter un nombre aussi restreint d’ordinateurs appartenant spécifiquement à des agences gouvernementales,des entreprises du secteur énergétique etc… Sans être par défaut présent dans un logiciel particulier lié à ces ordinateurs ou installé directement par quelqu’un ayant accès à ces postes ?







A priori je dirais, que comme l’infection débute par une campagne de phising, celle-ci est très strictement contrôlée par l’état/agence étatique à l’origine de la bête <img data-src=" />


votre avatar







carbier a écrit :



Pas possible… on m’a toujours dit le contraire… <img data-src=" />







<img data-src=" />


votre avatar







deepinpact a écrit :



J’ai une question peut-être un peu conne mais… Comment un virus aussi évolué soit-il peut-il infecter un nombre aussi restreint d’ordinateurs appartenant spécifiquement à des agences gouvernementales,des entreprises du secteur énergétique etc… Sans être par défaut présent dans un logiciel particulier lié à ces ordinateurs ou installé directement par quelqu’un ayant accès à ces postes ?





Les navigateurs demandent et ont beaucoup de droits sur le système, avec le gruyère flash, ça doit être encore plus simple. En revanche, ça me trou un peu l’oignon que ça ne lève pas de demande particulière sur un système GNU/Linux.


votre avatar







amikuns a écrit :



M.A.S.K. doit trouver beaucoup d’info pour choper V.E.N.O.M. <img data-src=" />



<img data-src=" />



Sinon, 5 ans d’existence sans être détecté, ça fait peur.



Le jour où des pirates mal intentionnés auront le même savoir faire, ça va faire mal…


votre avatar







ActionFighter a écrit :



<img data-src=" />



Sinon, 5 ans d’existence sans être détecté, ça fait peur.



Le jour où des pirates mal intentionnés auront le même savoir faire, ça va faire mal…





Tout simplement du fait de son spectre d’infection très très limitée et contrôlé.


votre avatar

C’est sûr que 380 postes ce n’est pas beaucoup mais si ce sont des postes de chefs d’entreprises ou de membres du gouvernement ça fait peur…

Un tel niveau d’élaboration est surprenant <img data-src=" />

votre avatar







methos1435 a écrit :



Comment ça OS X et Linux ?



Apple affirme avoir l’OS le plus évolué au monde. Les linuxiens se foutent de la gueule des autres sur la sécurité en affirmant ne pas être touché par tout ça.



On m’a menti ? <img data-src=" />





Evolué ca signifie pas forcémment sécuritaire <img data-src=" />. Et les linuxiens ont juste des chevilles de la taille d’un paquebot <img data-src=" />



il fonctionne sur OpenBSD ? Si oui alors ca y a problème <img data-src=" />


votre avatar

Why not North Korea ? <img data-src=" />

votre avatar







wagaf a écrit :



Il utilise probablement une faille de X (serveur d’affichage), présent sur quasi tous les systèmes Linux (sauf Android), troué de partout, base de code énorme, en décrépitude, que plus grand monde connaît.



Vivement la généralisation Wayland / Mir <img data-src=" />







<img data-src=" />


votre avatar

Linux n’a que peu voir quasi pas de virus/malware vu le peu de PDM qu’il a. OS X monte en PDM et commence a être touché comme windows.

votre avatar







athlon64 a écrit :



Et les linuxiens ont juste des chevilles de la taille d’un paquebot <img data-src=" />





C’est un hoax, un fud. Nous autres linuxiens avons déjà trop de problèmes pour installer un programme sans passer par les dépôts qu’il est impossible qu’un trojan s’installe tout seul sans problème d’incompatibilité qu’il faut ajuster manuellement. Et si c’était le cas, on voudrait bien étudier le trojan pour comprendre son installateur, parce qu’on en a vraiment besoin d’un truc équivalant.


votre avatar







gokudomatic a écrit :



C’est un hoax, un fud. Nous autres linuxiens avons déjà trop de problèmes pour installer un programme sans passer par les dépôts qu’il est impossible qu’un trojan s’installe tout seul sans problème d’incompatibilité qu’il faut ajuster manuellement.





<img data-src=" /> un trojan qui devrait se compiler sur la machine et qui sort dans les log qu’il bloque parce qu’il manque une lib <img data-src=" />


votre avatar

Et je vous l’avais déjà dit sur les autres news sur Flame et Cie, mais ce n’est que le début…

On est encore loin d’avoir découvert tous ce genres de programmes qui courent depuis longtemps sur le Net et peut être nos machines, tout OS confondus <img data-src=" />

votre avatar



Les binaires Windows sont par ailleurs signés d’un certificat authentique fourni par une fausse entreprise. Un degré de sophistication qui permet au malware de ne pas provoquer d’avertissements particuliers sur le système de Microsoft



Je comprends pas comment c’est possible.

Il y a toujours une chaine de certification donc après avoir identifié le maillon faible (le certificat qui a un faux nom d’entreprise) on doit pouvoir demander des comptes au maillon supérieur qui est garant de ce qu’il signe.

C’est qui l’autorité qui a signé le certificat ?

votre avatar







BenGamin a écrit :



X tourne toujours en admin/root ?







Mais comme l’a souligné wagaf, c’est le moindre de ses soucis.



X11/Xorg est semble-t-il merdique au point qu’il n’y a qu’une poignée de mecs sur terre qui comprennent son fonctionnement de A à Z. Il a été patché et repatché dans tous les sens en bientôt 10 ans d’existence, pour suivre tant bien que mal (et admettons que du point de vue de l’utilisateur, globalement c’est plutôt bien) les évolutions matérielles. Sa logique de base n’a jamais été révisée.



Corollaire : X est difficile à faire évoluer, impossible à maintenir efficacement.



Le serveur d’affichage utilisé en 2014 n’est que l’aboutissement d’une série de patchs hétérogènes appliqués sur le bidule qui gérait l’affichage… dès le début des années 1990 (XFree). C’était déjà du X11. Il y a plus de 20 ans.



Non ; clairement, vu la nature des problèmes de Xorg, insolubles, si une alternative fonctionne, profitons-en pour repartir sur des bases propres et saines et, accessoirement (!)… simplement actuelles.

Wayland nous promet ça.

Et quand je vois les perfs du bidule “tout pourri” qu’est X11, je suis très optimiste concernant les perfs de Wayland :-)


votre avatar







John Shaft a écrit :



Relis l’article, ça semble quand même un poil plus évolué que le spam de base pour retirer 3 millions de dollars en Afrique ou t’agrandir le pénis (ou les deux) <img data-src=" />







Pas de scam africain ou de “enlarge your penis” certes <img data-src=" />



Mais selon clubic il s’agit bien pourtant d’envois de mails piégés renvoyant vers des sites malveillants !


votre avatar







athlonx2 a écrit :



La qualité des sous titre est baisse chez PCI en ce moment !!



bon allez chui bon prince…



<img data-src=" />





<img data-src=" />



Y’a même pas Cameron Diaz <img data-src=" />


votre avatar







Winderly a écrit :



<img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" />





N’oublie pas le vol des clés de chiffrement aussi…



Pratique quand tu empreintes un PC avec un disque chiffré <img data-src=" />



Le nombre peu élevé de machines infectées, le grand nombre pays touchés, la durée d’au moins 5 ans de l’affaire fais clairement un parfait scénar de film de SF Nerd. Et d’autant plus flipé que c’est pas un film de SF <img data-src=" />


votre avatar







athlonx2 a écrit :



La qualité des sous titre est baisse chez PCI en ce moment !!

bon allez chui bon prince…

<img data-src=" />





Sérieusement ?! <img data-src=" />

Je le trouve très bon au contraire ! <img data-src=" />











the_Grim_Reaper a écrit :



Y’a même pas Cameron Diaz <img data-src=" />





Elle n’a jamais été aussi fascinante que dans ce film, c’est juste une pure bombe ambulante. <img data-src=" />


votre avatar







Reznor26 a écrit :



Elle n’a jamais été aussi fascinante que dans ce film, c’est juste une pure bombe ambulante. <img data-src=" />





Dans sa belle robe rouge :eeek: <img data-src=" /> <img data-src=" />


votre avatar







John Shaft a écrit :



Ou l’arrêt de l’utilisation d’une interface graphique. Ligne de commande powa ! <img data-src=" /><img data-src=" />





need the Shell <img data-src=" />





NonMais a écrit :



Bah disons qu’il y a des contrats d’armement/de plusieurs centaines de millions ou quelques milliards gagnés/perdus qui ne l’auraient pas été sinon…





C’est sure qu’ils n’ont psa du pourrir les appels d’offre où Dassault a essayé de fourguer son Rafale… <img data-src=" />





Ricard a écrit :



Ou d’un navgateur comme Dillo.<img data-src=" />









athlon64 a écrit :



W3M plutot <img data-src=" />





Lynx, ça fait des souvenir aux plus vieux <img data-src=" />



Je remarque que Solaris d’Oracle/SUN (oui, SUN existait encore), AIX ou OS400 d’IBM, UX d’HP, … n’ont pas été touchés, ils sont foireux les dev du truc <img data-src=" />


votre avatar







Poppu78 a écrit :



Il n’y a que moi que ça choque une moyenne de quasiment 3 IPs par poste ?





iOS et Android, tu peut d’office tabler sur de l’IP dynamique, les IP Fixe pour les portables c’est pas non plus la norme, …





deepinpact a écrit :



Donc par exemple avec un banal envoi de mail avec un lien pourri ? <img data-src=" />





Bah pour attirer spécifiquement Winnie, tu vas pas lui mettre une photo de carotte dans le mail <img data-src=" />





linkin623 a écrit :



Si c’est des ordi portables, ça peut le faire. Ou via des VPN si c’est des PC fixes d’entreprises ou d’administrations.



Enfin bon, le fait que le virus ne se réplique pas, vise tous les OS, certains logiciels et la frappe clavier me fait penser à deux choses




  • un groupe de hacker qui roxxxent du poney ont fait un truc pour pirater certains ordi et retirer des infos comme des codes bancaires d’entreprises : piratage “habituel” qui a duré pas mal de temps

  • une agence de renseignement a réussi à cibler à peu près toutes les personnes les plus importantes dans le monde à un instant T, et dispose de putain d’infos…





    Pour les CB, autant aller à la source (VISA, MC, EMVCO, les banques, les producteurs de puces, …)





    methos1435 a écrit :



    Comment ça OS X et Linux ?



    Apple affirme avoir l’OS le plus évolué au monde. Les linuxiens se foutent de la gueule des autres sur la sécurité en affirmant ne pas être touché par tout ça.



    On m’a menti ? <img data-src=" />





    Apple c’est une bande de commerciaux communicant <img data-src=" />

    OSX et iOS sont des cousins de BSD.





    athlon64 a écrit :



    Evolué ca signifie pas forcémment sécuritaire <img data-src=" />. Et les linuxiens ont juste des chevilles de la taille d’un paquebot <img data-src=" />



    il fonctionne sur OpenBSD ? Si oui alors ca y a problème <img data-src=" />





    C’est con, OSX est touché, y’aurait quelques risques que je ne serait pas si étonné <img data-src=" />


votre avatar







nateriver a écrit :



Aucune machine infectée en Israël ou aux usa, tiens tiens…





Ni en Papouasie Nouvelle Guinée.



Coïncidence ? Je ne crois pas.


votre avatar







deepinpact a écrit :



Donc par exemple avec un banal envoi de mail avec un lien pourri ? <img data-src=" />





oui, mais apparemment ils avaient repris des sites de journaux connus. Suivant qui tu vises tu lui envoies un lien vers un article de journal spécialisé et bien connu, pouf il clique, se retrouve sur une page qui sent bon le journal en question (comme le canada dry) et pouf ton petit malware passe en douce via une faille flash et banco.


votre avatar







Ricard a écrit :



On peu toujours rêver, en effet…<img data-src=" />





Faut pas désespérer :tranpsi:



Avec les infos des rapports techniques de Mask, Flame et consort, ça va peut-être donner des idées.







nateriver a écrit :



Aucune machine infectée en Israël ou aux usa, tiens tiens…





22 aux US <img data-src=" />


votre avatar







Homo_Informaticus a écrit :



Ni en Papouasie Nouvelle Guinée.



Coïncidence ? Je ne crois pas.





ni en Italie, tu noteras…

L’étau se resserre…


votre avatar







ActionFighter a écrit :



22 aux US <img data-src=" />











WereWindle a écrit :



ni en Italie, tu noteras…

L’étau se resserre…







On peut donc en déduire que c’est les papous sionistes de la mafia sicilienne.



J’ai raté ma vocation dans la police :(


votre avatar







Homo_Informaticus a écrit :



On peut donc en déduire que c’est les papous sionistes de la mafia sicilienne.



J’ai raté ma vocation dans la police :(





conjointement avec les Illuminati du Vatican <img data-src=" />

(d’ailleurs, pourquoi Benoit XVI a-t-il effectué une retraite dans un couvent isolé, si ce n’est pas pour se livrer à sa coupable activité de hacking <img data-src=" />)


votre avatar







WereWindle a écrit :



ni en Italie, tu noteras…

L’étau se resserre…







Par contre, 3 postes polonais sont infectés !



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







ActionFighter a écrit :



<img data-src=" />



Sinon, 5 ans d’existence sans être détecté, ça fait peur.



Le jour où des pirates mal intentionnés auront le même savoir faire, ça va faire mal…







Tu penses qu’il n’existe pas de pirates mal intentionnés avec ce niveau de compétences ? (Vrai question, je n’en ai aucune idée)


votre avatar







Homo_Informaticus a écrit :



On peut donc en déduire que c’est les papous sionistes de la mafia sicilienne.





<img data-src=" />



Je lance un avis de recherche sur un noir avec une bourse autour du cou et à l’accent Italien <img data-src=" />







razcrambl3r a écrit :



Tu penses qu’il n’existe pas de pirates mal intentionnés avec ce niveau de compétences ? (Vrai question, je n’en ai aucune idée)





Me suis mal exprimé <img data-src=" />



Je veux dire que lorsqu’un collectif ayant pour ambition de faire tomber certaines infrastructures critiques aura atteint ce niveau de compétence et le mettra en ordre, les conséquences pourraient être assez énormes.


votre avatar







John Shaft a écrit :



Selon PCI aussi namého ! <img data-src=" />



<img data-src=" />









NonMais a écrit :



oui, mais apparemment ils avaient repris des sites de journaux connus. Suivant qui tu vises tu lui envoies un lien vers un article de journal spécialisé et bien connu, pouf il clique, se retrouve sur une page qui sent bon le journal en question (comme le canada dry) et pouf ton petit malware passe en douce via une faille flash et banco.







Non mais c’est ce que j’ai fini par comprendre. Désolé, il était tard, j’étais fatigué, en plus je suis malade et puis en plus j’avais faim <img data-src=" />


votre avatar



The other observed attack methods relies on a Flash Player exploit.

CVE-2012-0773 has an interesting history. It was originally discovered by French company VUPEN and used to win the “pwn2own” contest in 2012. This was the first known exploit to escape the Chrome sandbox. VUPEN refused to share the exploit with the contest organizers, claiming that it plans to sell it to its customers.





De la vente par une société Française cataloguée vendeuse d’exploits pour la NSA et consorts. Ce serait donc une société ou un organisme client de Vupen.





The way the attack works is the following: first, it tries to open the handle of the Kaspersky system driver, “\.\KLIF” and sends a custom DeviceIoControl code. If the call succeeds, the module and all processed named “services.exe” are no longer checked by the antivirus engine.





La backdoor SGH est intéressante, ils se sont fait remarqués par l’utilisation d’une faille dans le driver system de Kaspersky, “\.\KLIF”, qui poussait le module de l’antivirus à ne plus vérifier le processus “services.exe”. S’en suit une longue liste de modules (détaillé surtout dans l’appendice 2).



Ce qui fait sa particularité c’est sa longue durée de vie, probablement lié aux précautions de discrétions, mais autrement sacré coup de pub pour Kaspersky qui surfe sur la vague Snowden (avec une jolie image “Careto” en début de rapport, toute belle, toute prête pour les journalistes).

votre avatar







ActionFighter a écrit :



Me suis mal exprimé <img data-src=" />



Je veux dire que lorsqu’un collectif ayant pour ambition de faire tomber certaines infrastructures critiques aura atteint ce niveau de compétence et le mettra en ordre, les conséquences pourraient être assez énormes.







Ah okay. Du coup je réitère ( <img data-src=" /> ) ma question : y’a de black hat (ou des white hat) qui atteignent ce niveau ? J’aurai tendance à penser que oui, vu que pour beaucoup, cela doit être une passion (enfin bon, c’est la représentation que je me fait de ces gens)


votre avatar







razcrambl3r a écrit :



Ah okay. Du coup je réitère ( <img data-src=" /> ) ma question : y’a de black hat (ou des white hat) qui atteignent ce niveau ? J’aurai tendance à penser que oui, vu que pour beaucoup, cela doit être une passion (enfin bon, c’est la représentation que je me fait de ces gens)





C’est possible que ce soit déjà le cas, en effet.



Mais pour l’instant, soit ils ne l’ont pas mis en pratique, soit ils ne se sont pas faits prendre.


votre avatar







deepinpact a écrit :



Non mais c’est ce que j’ai fini par comprendre. Désolé, il était tard, j’étais fatigué, en plus je suis malade et puis en plus j’avais faim <img data-src=" />





y a pas de mal <img data-src=" />


votre avatar







athlon64 a écrit :



<img data-src=" /> un trojan qui devrait se compiler sur la machine et qui sort dans les log qu’il bloque parce qu’il manque une lib <img data-src=" />





<img data-src=" /><img data-src=" /> hahaha magique !


votre avatar







ActionFighter a écrit :



22 aux US <img data-src=" />





Ils se sont auto-infectés et ils n’y avait aucun anti-virus pour nettoyer <img data-src=" />







Tuttle7 a écrit :



sacré coup de pub pour Kaspersky qui surfe sur la vague Snowden (avec une jolie image “Careto” en début de rapport, toute belle, toute prête pour les journalistes).





C’est en effet les seuls à sortir ce genre d’affaire.

Faut dire que les autres sont des entreprises américaines…


votre avatar







CUlater a écrit :



Pourtant elle existe et est en plus hispanophone.

Bon j’arrête les quotes parce que je sens que le rapport contient quelques perles…







Ce n’est pas Tecsystem-informatica Ltd à mon avis.


votre avatar







Ricard a écrit :



Ou d’un navgateur comme Dillo.<img data-src=" />





W3M plutot <img data-src=" />


votre avatar







TaigaIV a écrit :



C’est juste qu’ils ont bien choisi leur cible et sélectionner des gens qui ne vont pas faire un scandale par ce qu’il y a un pauvre débit de 100 000 euros dont ils ne se rappellent plus.





Ça ferait plus de monde que ça dans ce cas. Perso, à moins d’un millions, mon banquier suisse n’a pas intérêt à me déranger pour ça <img data-src=" />







NonMais a écrit :



Bah disons qu’il y a des contrats d’armement/de plusieurs centaines de millions ou quelques milliards gagnés/perdus qui ne l’auraient pas été sinon…





Le but était sûrement de l’espionnage diplomatique et industriel.







Ricard a écrit :



Qui te dit que c’est pas déjà le cas ? <img data-src=" />





Ce que je voulais dire, c’est que le jour où un groupe de black hat se met à attaquer avec ce genre d’outil par exemple les banques centrales de plusieurs pays, les dégâts seront d’un autre ordre.


votre avatar



l’aspiration des conversations Skype







Une attaque qui durait depuis plus de cinq ans







Son code est conçu pour fonctionner sur les machines Windows, OS X et Linux





<img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" />

votre avatar







EMegamanu a écrit :



Grillé par le sous-titre. <img data-src=" />

Comment je fais mes blagues vaseuses maintenant ? <img data-src=" />





Par exemple en parlant de M.A.S.K. ? <img data-src=" />


votre avatar

Chevalier mask &gt;_&gt;

votre avatar







Winderly a écrit :



l’aspiration des conversations Skype





Ouais si t’entends un bruit d’aspirateur sous Skype, c’est peut-être que tu as ce virus ! <img data-src=" />


votre avatar



environ 380 postes uniques, répartis dans 31 pays et près d’un millier d’adresses IP différentes





Il n’y a que moi que ça choque une moyenne de quasiment 3 IPs par poste ?

votre avatar







EdDiE a écrit :



spa G.I. Joe qui se bat contre MASK normalement ?



…..ok dehors mais fait froid





non,

contre Cobra



(Mask est héros d’une autre série à jouets)


votre avatar







ActionFighter a écrit :



Ce que je voulais dire, c’est que le jour où un groupe de black hat se met à attaquer avec ce genre d’outil par exemple les banques centrales de plusieurs pays, les dégâts seront d’un autre ordre.





On peu toujours rêver, en effet…<img data-src=" />


votre avatar







NonMais a écrit :



Bah disons qu’il y a des contrats d’armement/de plusieurs centaines de millions ou quelques milliards gagnés/perdus qui ne l’auraient pas été sinon…





C’est une piste plausible (il y a une histoire d’achats de sous-marins par le Maroc en suspens), mais en regardant bien les données de Kasperski labs, c’en est une autre (de piste) qui pourrait se dégager.



Les données :



Spain, France and Morocco are the only countries appearing in the top 5 in all cases.

The main targets of Careto fall into the following categories:




votre avatar







wagaf a écrit :



Il utilise probablement une faille de X (serveur d’affichage), présent sur quasi tous les systèmes Linux (sauf Android), troué de partout, base de code énorme, en décrépitude, que plus grand monde connaît.



Vivement la généralisation Wayland / Mir <img data-src=" />





X tourne toujours en admin/root ?


votre avatar







John Shaft a écrit :



A priori je dirais, que comme l’infection débute par une campagne de phising, celle-ci est très strictement contrôlée par l’état/agence étatique à l’origine de la bête <img data-src=" />











NonMais a écrit :



De ce que j’ai compris de l’article c’est par phishing, donc ils n’ont envoyé le pot de miel qu’aux personnes spécifiquement visées.







Donc par exemple avec un banal envoi de mail avec un lien pourri ? <img data-src=" />


votre avatar







Poppu78 a écrit :



Il n’y a que moi que ça choque une moyenne de quasiment 3 IPs par poste ?





Si c’est des ordi portables, ça peut le faire. Ou via des VPN si c’est des PC fixes d’entreprises ou d’administrations.



Enfin bon, le fait que le virus ne se réplique pas, vise tous les OS, certains logiciels et la frappe clavier me fait penser à deux choses




  • un groupe de hacker qui roxxxent du poney ont fait un truc pour pirater certains ordi et retirer des infos comme des codes bancaires d’entreprises : piratage “habituel” qui a duré pas mal de temps

  • une agence de renseignement a réussi à cibler à peu près toutes les personnes les plus importantes dans le monde à un instant T, et dispose de putain d’infos…


votre avatar







ActionFighter a écrit :



Ce que je voulais dire, c’est que le jour où un groupe de black hat se met à attaquer avec ce genre d’outil par exemple les banques centrales de plusieurs pays, les dégâts seront d’un autre ordre.





Inutile, les dirigeants de la FED fond bien pire tout seul comme des grands…


votre avatar







deepinpact a écrit :



Donc par exemple avec un banal envoi de mail avec un lien pourri ? <img data-src=" />







Relis l’article, ça semble quand même un poil plus évolué que le spam de base pour retirer 3 millions de dollars en Afrique ou t’agrandir le pénis (ou les deux) <img data-src=" />


votre avatar

Comment ça OS X et Linux ?



Apple affirme avoir l’OS le plus évolué au monde. Les linuxiens se foutent de la gueule des autres sur la sécurité en affirmant ne pas être touché par tout ça.



On m’a menti ? <img data-src=" />

votre avatar

EDIT foireux, need un café

votre avatar







Arona a écrit :



Tout simplement du fait de son spectre d’infection très très limitée et contrôlé.





On parle seulement des postes détectés. Mais si l’infection a pu être stoppée et les traces supprimées en un temps record, rien ne dit que le nombre réel de postes ayant été infectés n’ait pas été bien plus élevé.



Après, cela reste une suspicion, mais ça donne à réfléchir, notamment sur les faiblesses des chaînes de certification.


votre avatar







ActionFighter a écrit :



<img data-src=" />



Sinon, 5 ans d’existence sans être détecté, ça fait peur.



Le jour où des pirates mal intentionnés auront le même savoir faire, ça va faire mal…





Qui te dit qu’ils sont bien intentionnés ? <img data-src=" />


votre avatar



Il aura fallu la détection de l’exploitation d’une faille dans une ancienne version de son antivirus pour que la société russe découvre la bête.



Je viens de comprendre qu’on est censés dire “Kasperski” et pas “Kasperscaille”.

Effrayant tout de même, et il est fort probable qu’en 5 ans les créateurs de ce virus ont eu tout le temps d’apprendre et de développer quelque chose d’encore plus performant…

votre avatar







carbier a écrit :



Pas possible… on m’a toujours dit le contraire…





Le contraire de quoi ? Que ce virus ne fonctionne pas sous OS X ni Linux ? <img data-src=" />


votre avatar







BenGamin a écrit :



Les navigateurs demandent et ont beaucoup de droits sur le système, avec le gruyère flash, ça doit être encore plus simple. En revanche, ça me trou un peu l’oignon que ça ne lève pas de demande particulière sur un système GNU/Linux.





Il utilise probablement une faille de X (serveur d’affichage), présent sur quasi tous les systèmes Linux (sauf Android), troué de partout, base de code énorme, en décrépitude, que plus grand monde connaît.



Vivement la généralisation Wayland / Mir <img data-src=" />


votre avatar







carbier a écrit :



Pas possible… on m’a toujours dit le contraire… <img data-src=" />







On peut en déduire que cette news est un hoax <img data-src=" />


votre avatar







wagaf a écrit :



Il utilise probablement une faille de X (serveur d’affichage), présent sur quasi tous les systèmes Linux (sauf Android), troué de partout, base de code énorme, en décrépitude, que plus grand monde connaît.



Vivement la généralisation Wayland / Mir <img data-src=" />







Ou l’arrêt de l’utilisation d’une interface graphique. Ligne de commande powa ! <img data-src=" /><img data-src=" />


votre avatar







deepinpact a écrit :



J’ai une question peut-être un peu conne mais… Comment un virus aussi évolué soit-il peut-il infecter un nombre aussi restreint d’ordinateurs appartenant spécifiquement à des agences gouvernementales,des entreprises du secteur énergétique etc… Sans être par défaut présent dans un logiciel particulier lié à ces ordinateurs ou installé directement par quelqu’un ayant accès à ces postes ?





De ce que j’ai compris de l’article c’est par phishing, donc ils n’ont envoyé le pot de miel qu’aux personnes spécifiquement visées.


votre avatar







TaigaIV a écrit :



Qui te dit qu’ils sont bien intentionnés ? <img data-src=" />





cépafo <img data-src=" />



Après je n’ai pas lu le rapport technique, mais il n’y a pas eu de dégâts apparents, c’était sûrement juste pour s’amuser <img data-src=" />


votre avatar







NonMais a écrit :



De ce que j’ai compris de l’article c’est par phishing, donc ils n’ont envoyé le pot de miel qu’aux personnes spécifiquement visées.







D’ailleurs, j’y pensais à l’instant, mais si l’attaque venait mettons de la “No Such Agency” (ou des cousin(e)s), ils avaient déjà peut-être une liste des IP et/ou postes candidats à l’INfection, histoire de contrôler encore plus la chose


votre avatar







ActionFighter a écrit :



cépafo <img data-src=" />



Après je n’ai pas lu le rapport technique, mais il n’y a pas eu de dégâts apparents, c’était sûrement juste pour s’amuser <img data-src=" />







Bah disons qu’il y a des contrats d’armement/de plusieurs centaines de millions ou quelques milliards gagnés/perdus qui ne l’auraient pas été sinon…


votre avatar







ActionFighter a écrit :



cépafo <img data-src=" />



Après je n’ai pas lu le rapport technique, mais il n’y a pas eu de dégâts apparents, c’était sûrement juste pour s’amuser <img data-src=" />







C’est juste qu’ils ont bien choisi leur cible et sélectionner des gens qui ne vont pas faire un scandale par ce qu’il y a un pauvre débit de 100 000 euros dont ils ne se rappellent plus.


votre avatar







carbier a écrit :



Pas possible… on m’a toujours dit le contraire… <img data-src=" />







Page 8 du document :



We have detected traces of Linux versions, and possibly versions for iPad/iPhone and Android, however we have not been able to retrieve the samples.





Page 10 :



During the investigation, we were able to obtain the Win32 and Mac OS X versions; the Linux variant was badly damaged and could not be recovered





Page 22



The Linux variant gets installed from the exploit server “linkconf dot net” through the

Firefox plugins. Unfortunately, the plugins we retrieved from the server were badly damaged and could not be recovered. Nevertheless, they do seem to exist and are in use by the Mask attackers.





S’ensuit 20 pages sur “Comment qu’ils ont fais sur Windows”



Ils bluffent <img data-src=" />


votre avatar







ActionFighter a écrit :



<img data-src=" />



Sinon, 5 ans d’existence sans être détecté, ça fait peur.



Le jour où des pirates mal intentionnés auront le même savoir faire, ça va faire mal…





Qui te dit que c’est pas déjà le cas ? <img data-src=" />


votre avatar







John Shaft a écrit :



Ou l’arrêt de l’utilisation d’une interface graphique. Ligne de commande powa ! <img data-src=" /><img data-src=" />





Ou d’un navgateur comme Dillo.<img data-src=" />


votre avatar







the_Grim_Reaper a écrit :



OSX et iOS sont des cousins de BSD.



C’est con, OSX est touché, y’aurait quelques risques que je ne serait pas si étonné <img data-src=" />





Oui justement, ma question est vu que OS X a une base BSD (bien modifiée certes) le programme peut-il se propager sur OpenBSD ?

Si oui, alors la ils feraient très forts au vu du but premier de OpenBSD et si même cette distribution est touchée, alors toutes les autres le sont et avec des risques encore plus gros <img data-src=" />


votre avatar







the_Grim_Reaper a écrit :



Pour les CB, autant aller à la source (VISA, MC, EMVCO, les banques, les producteurs de puces, …)







<img data-src=" /> Les comptes d’entreprises n’ont pas toujours une CB liées. Et puis forcer l’information là où elle est centralisée c’est courir le risque de se faire remarquer et donc que l’info soit inutile.

Donc prendre les codes aux utilisateurs, c’est le meilleur moyen pour ne pas se faire remarquer et continuer d’espionner.



A moins que le groupe derrière ça n’avait pas besoin de l’argent des comptes, mais juste des accès pour voir ce qui s’y passe… Oh wait <img data-src=" />


votre avatar

je suis encore sur BeOS, je ne risque rien !!!! <img data-src=" />

votre avatar







deepinpact a écrit :



Mais selon clubic il s’agit bien pourtant d’envois de mails piégés renvoyant vers des sites malveillants !







Selon PCI aussi namého ! <img data-src=" />



<img data-src=" />


votre avatar







John Shaft a écrit :



Selon PCI aussi namého ! <img data-src=" />



<img data-src=" />





John Shaft, gardien du temple<img data-src=" />


votre avatar







athlon64 a écrit :



Oui justement, ma question est vu que OS X a une base BSD (bien modifiée certes) le programme peut-il se propager sur OpenBSD ?

Si oui, alors la ils feraient très forts au vu du but premier de OpenBSD et si même cette distribution est touchée, alors toutes les autres le sont et avec des risques encore plus gros <img data-src=" />





<img data-src=" />



Effectivement, vu comme ça, on peu craindre le pire.





linkin623 a écrit :



<img data-src=" /> Les comptes d’entreprises n’ont pas toujours une CB liées. Et puis forcer l’information là où elle est centralisée c’est courir le risque de se faire remarquer et donc que l’info soit inutile.

Donc prendre les codes aux utilisateurs, c’est le meilleur moyen pour ne pas se faire remarquer et continuer d’espionner.



A moins que le groupe derrière ça n’avait pas besoin de l’argent des comptes, mais juste des accès pour voir ce qui s’y passe… Oh wait <img data-src=" />





<img data-src=" />

pirater des personnes bien précises chez les 3 premiers t’ouvres les portes de quelques centaines de millions de clients, commerçants, … Le numéro de CB c’est rien à côté. c’est comme comparer le piratage d’une radio et le piratage de l’usine qui presse des CD.

Pour les derniers je ne ferai pas de commentaire, business is business <img data-src=" />


votre avatar

C’est un coup des russes qui ont espionnés les équipes/sportifs des autres pays pour être sûr de gagner les J.O qu’ils organisent <img data-src=" />

votre avatar







gokudomatic a écrit :



Venom!<img data-src=" />







ça me rassure je suis pas le seul :p


votre avatar

@athlon64



Entre une BSD et OSX il y a quand même quelques différences et quelques couches en plus venant d’Apple qui font la différence et n’en font plus la BSD de départ.



On peut prendre une base ultra saine et se faire entuber en la modifiant ou en l’ouvrant a des choses que l’on rajoute soi même (BlackBerry vient de le découvrir avec une faille possible sur BB10 et BES via sa compatibilité avec les applis android sur sa dernière version).



Ceci dit, cela serait une bonne occasion pour les BSD de re auditer leur OS.

votre avatar







Mr.Nox a écrit :



Linux n’a que peu voir quasi pas de virus/malware vu le peu de PDM qu’il a. OS X monte en PDM et commence a être touché comme windows.





Je les adore ceux là…

Suis un peu l’actualité avant de dire n’importe du grand quoi digne d’un journaliste télé…

Allez histoire de rire…

Linux : fr.wikipedia.org WikipediaMac os x : http://www.thesafemac.com/mmg-catalog/



Si je commence a m’amuser avec ton idée de part de marché, je te dirais que linux est une vraie passoire a coté d’os X <img data-src=" />



votre avatar







Reznor26 a écrit :



John Shaft, gardien du temple<img data-src=" />







Oui alors précision : avec mes potes, on y a collé un drapeau noir à l’entrée et on a transformé le bousin en squat. Mais du coup, je crois que la notion de “gardien” a été rejeté lors de la dernière assemblée <img data-src=" /> <img data-src=" />


votre avatar







unCaillou a écrit :



Je comprends pas comment c’est possible.

Il y a toujours une chaine de certification donc après avoir identifié le maillon faible (le certificat qui a un faux nom d’entreprise) on doit pouvoir demander des comptes au maillon supérieur qui est garant de ce qu’il signe.

C’est qui l’autorité qui a signé le certificat ?





C’est un problème déjà vu par le passé…

Pas difficile avec un peu de pognon de monter une boite bidons qui paye bien…

Les autorités de sécurité, c’est comme un labo d’analyse ou la presse, ça vous promets plein de chose, de tracabilité, de la qualité et co, mais une fois vu de l’intérieur, c’est un peu moins charmant…



Dans le genre, quelle crédibilité accorder au autorité de certification américaine, anglaise (et française dans le même panier)?

Avec la certification NSA <img data-src=" />


votre avatar







tic tac a écrit :



@athlon64



Entre une BSD et OSX il y a quand même quelques différences et quelques couches en plus venant d’Apple qui font la différence et n’en font plus la BSD de départ.



On peut prendre une base ultra saine et se faire entuber en la modifiant ou en l’ouvrant a des choses que l’on rajoute soi même (BlackBerry vient de le découvrir avec une faille possible sur BB10 et BES via sa compatibilité avec les applis android sur sa dernière version).



Ceci dit, cela serait une bonne occasion pour les BSD de re auditer leur OS.





Merci pour plus de details. <img data-src=" />



Je savais que OS X basé sur BSD donc rajout Apple, Mais je n’avais pas pensé que en rajoutant on rajoute des failles <img data-src=" />



Android c’est pas autant secure que BB donc ca m’étonne pas trop



Oui, surtout si ils peuvent avoir des details sur The Mask (<img data-src=" />) par rapport à son fonctionnement, ca peut etre un plus


votre avatar

C’est marqué sur la page d’acceuil du site Open BSD:



“Seulement deux vulnérabilités à distance dans l’installation par défaut, depuis diablement longtemps !”



Installation par défault … en gros il te livre un OS hyper secure et parmis les plus “clean”.



C’est après que tout peu foirer, car libre à toi ensuite de le flinguer en l’administrant avec tes pieds, en mordant à tout les hameçons qu’on te présente ou en installant et acceptant tout et n’importe quoi … ^^



A la base du piratage Mask, c’est la traditionnelle tehnique de phishing et fraude au certificat qui crée la corruption, pas une brèche dans les OS.

votre avatar

Aucune machine infectée en Israël ou aux usa, tiens tiens…

votre avatar

Et les documents de Snowden n’ont encore rien révélés quant à l’implication de la NSA là-dedans?

votre avatar

La qualité des sous titre est baisse chez PCI en ce moment !!



bon allez chui bon prince…



<img data-src=" />

votre avatar

Grillé par le sous-titre. <img data-src=" />

Comment je fais mes blagues vaseuses maintenant ? <img data-src=" />

votre avatar







athlonx2 a écrit :



La qualité des sous titre est baisse chez PCI en ce moment !!



bon allez chui bon prince…



<img data-src=" />





<img data-src=" />



je préfère un sous titre moyen et un article bien fait comme celui-ci que l’inverse <img data-src=" />


votre avatar



Si le nombre de machines infectées peut sembler plus que limité et refléter peut-être l’échec d’une campagne, il n’en est sans doute rien. Le profil très particulier des cibles indique que lesdites machines sont probablement utilisées par des personnes bien placées dans une agence ou une entreprise importante.





Bon, ça va, mon PC au bureau n’est pas infecté.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar







EMegamanu a écrit :



Comment je fais mes blagues vaseuses maintenant ? <img data-src=" />







Mets tes bottes ! <img data-src=" />


votre avatar

Bientôt compatible Google Glass <img data-src=" />

votre avatar



The Mask also uses a customized attack against older versions of Kaspersky Lab products to hide in the system

C’te message subliminal<img data-src=" />

votre avatar



Son code est conçu pour fonctionner sur les machines Windows, OS X et Linux





Pas possible… on m’a toujours dit le contraire… <img data-src=" />

votre avatar

Il porte bien son nom en tout cas, il a avancé masqué pendant cinq ans…<img data-src=" /><img data-src=" />

votre avatar







jb18v a écrit :



<img data-src=" />



je préfère un sous titre moyen et un article bien fait comme celui-ci que l’inverse <img data-src=" />







Et PAF !



<img data-src=" />



<img data-src=" />



“L’orange c’est la santé.” Comprenne qui pourra le rapport !



<img data-src=" />


votre avatar



Sssssplendiiiiide



Excellent :)

votre avatar

Venom!<img data-src=" />

votre avatar

La suite au prochain épisode avec…. Mask II, le retour du vengeur maské ! <img data-src=" />

votre avatar







carbier a écrit :



Pas possible… on m’a toujours dit le contraire… <img data-src=" />





j’voulais le dire <img data-src=" />


votre avatar



from an unknown or fake company, called TecSystem Ltd

Pourtant elle existe et est en plus hispanophone.

Bon j’arrête les quotes parce que je sens que le rapport contient quelques perles…

votre avatar

Ils vont être déMaskés j’espère …. <img data-src=" />

Mask, la campagne de piratage la plus évoluée à ce jour selon Kaspersky

  • Une attaque qui durait depuis plus de cinq ans 

  • Mask prend la tête de la sophistication selon Kaspersky 

  • Un vrai certificat de sécurité fourni par une fausse entreprise 

Fermer