Découvrez le N°46 - Avril/Mai
NOUVEAU
Version interactive
Consulter les articles en ligne
Consulter les anciens numéros
  • Au sommaire
  • Baromètre
  • Windows XP le support s’arrête, mais la sécurité continue
  • La sécurité, une affaire d’état
  • Phablettes : les PC de demain
  • MDM: sécurisez la flotte mobile
  • News
  • HP et VMware simplifient la gestion des infrastructures convergentes
  • Superviser le Datacenter pour en garder le contrôle
  • Convergence des flux d’informations : réussir l’Entreprise Numérique
  • De la capture à l’archivage, les 5 enjeux de la dématérialisation
  • Interview - Agnès Van de Walle, directrice de la division Surface et Windows, Microsoft France
  • SaaS, cloud et mobilité : nouveaux usages et défis pour les DSI
« Madi », une nouvelle attaque de cyberespionnage au Moyen‑Orient

Sécurité - Rédigé le mardi 17 juillet 2012 - Jean Kaminsky

Les chercheurs de Kaspersky Lab annoncent les résultats d’une enquête menée conjointement avec Seculert, société spécialisée dans la détection de menaces. Ces investigations portent sur « Madi », une campagne de cyberespionnage qui sévit actuellement au Moyen-Orient. Découverte à l’origine par Seculert, Madi s’infiltre dans les ordinateurs en réseau sous la forme d’un cheval de Troie transmis par des techniques de « social engineering », visant des cibles soigneusement sélectionnées.

Les deux sociétés ont ainsi identifié plus de 800 victimes en Iran, en Israël et dans certains autres pays à travers le monde, qui ont été en relation avec ces serveurs au cours des huit derniers mois. Les statistiques de surveillance révèlent que les victimes sont principalement des hommes d’affaires travaillant pour des projets iraniens ou israéliens dans le domaine des infrastructures critiques ou pour des établissements financiers israéliens, ou encore des étudiants ingénieurs au Moyen-Orient, ainsi que diverses administrations communiquant dans cette région. En outre, l’examen du programme malveillant a fait ressortir une quantité inhabituelle de documents ou d’images de « diversion » à caractères religieux ou politique, distribués au moment de l’infection initiale.

Le cheval de Troie Madi permet de dérober à distance des fichiers sensibles sur les ordinateurs Windows infectés, d’espionner des communications confidentielles (e-mails ou messages instantanés) ou encore d’effectuer des enregistrements audio ou de frappes clavier et des copies d’écran des activités des victimes. L’analyse des données semble indiquer que plusieurs giga-octets d’informations ont été téléchargés depuis les machines de ces dernières.

Parmi les applications courantes et les sites Web espionnés figurent des comptes sur Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ et Facebook. La surveillance porte également sur des systèmes ERP/CRM intégrés, des contrats entre entreprises et des systèmes de gestion financière.

Nicolas Brulez, chercheur senior en malware au sein de Kaspersky Lab précise « Les auteurs de l’attaque Madi sont parvenus à espionner sur une période prolongée des victimes connues dans leur domaine, aux profils spécifiques, en utilisant un malware et une infrastructure bien plus basiques que d’autres opérations similaires. Cette attaque confirme bien qu’une opération, même rudimentaire, peut causer le vol de données clé et confidentielles en toute impunité. »

Aviv Raff, directeur technique de Seculert ajoute «notre analyse conjointe a découvert un grand nombre d’expressions en persan disséminées dans le malware et ses outils de C&C, ce qui n’est pas courant dans du code malveillant. Il ne fait donc pas de doute que les responsables de l’attaque parlent couramment cette langue ».

Le système Anti-Virus de Kaspersky Lab détecte les variantes du malware Madi ainsi que les documents diffusés et modules associés, sous l’appellation Trojan.Win32.Madi. Le compte rendu complet de l’enquête menée par les experts de Kaspersky Lab est disponible sur le site Securelist. L’étude de Seculert sur l’attaque Mahdi se trouve sur le site Seculert Blog.

VIDEO
Assises de la sécurité 2013 - La confiance numérique, priorité du nouveau DSI de la ville d'Aulnay-sous-Bois
Les citoyens ont besoin d’un identifiant unique pour toutes leurs formalités ; les élus d’outils de communication faciles à utiliser et protégés....

Voir la video en grand format

La Communication, une compétence clé pour la réussite des projets IT
Table-ronde, salon Ressources Humaines, Paris Porte de Versailles, mars 2013. « 42% des DSI souhaitent améliorer leurs compétences en...

Voir la video en grand format

L'ACTUALITE AU QUOTIDIEN
BUSINESS INTELLIGENCE Quel avenir pour la BI ?
TéLéCOMMUNICATIONS SFR racheté par Numericable


Solutions-Logiciels.com Le portail du décideur informatique en entreprise - 2014 - Tous droits réservés


Le présent site Web est édité par K-Now, Sarl inscrite au RCS de Paris sous le N° 499 320 000 et dont le siège social est au 21 rue de Fécamp 75012 Paris.
Adresse de courrier électronique :diff@solutions-logiciels.com

Le directeur de la publication du site www.Solutions-Logiciels.com. est Jean-Kaminsky en qualité de gérant de la Sarl K-NOW