•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

La Russie déploie de nouveaux outils de piratage sophistiqués

Une photo montrant une personne au visage obscurci par le capuchon de son chandail kangourou noir. Derrière lui flotte un drapeau de la Russie.

Des agences gouvernementales américaines et européennes soupçonnent que le groupe Sofacy est dirigé par l'agence de renseignement militaire russe.

Photo : iStock

Radio-Canada

Des pirates du groupe russe Sofacy ont lancé des attaques d'hameçonnage sophistiquées visant des gouvernements de l'Amérique du Nord, de l'Europe et d'un ancien État de l'URSS, entre autres, rapporte la firme de cybersécurité Palo Alto Networks (Nouvelle fenêtre).

Des agences gouvernementales américaines et européennes soupçonnent que Sofacy est dirigé par l'agence de renseignement militaire russe. Les mêmes agences gouvernementales estiment que Sofacy serait à l’origine du piratage visant le Parti démocrate américain, survenu avant l’élection présidentielle de 2016.

La nouvelle attaque détectée par Palo Alto Networks utilise un stratagème connu, mais peu répandu.

Les pirates envoient d’abord un courriel en apparence normal et contenant un document Word en pièce jointe. Ce document ne comprend pas de logiciel malveillant, ce qui rend l’attaque à venir difficile à détecter pour les systèmes de sécurité.

Une fois ouvert, toutefois, le document Word démarre le téléchargement d’un modèle distant (remote template). Cette fonction tout à fait légitime de Microsoft Word est parfois utilisée par des entreprises pour permettre à leurs employés d’uniformiser l’apparence de leurs documents.

Des chevaux de Troie

Dans le cas de l’attaque de Sofacy, le modèle distant contient deux chevaux de Troie, des logiciels malveillants difficiles à détecter.

L’un d’eux, appelé Zebrocy (Nouvelle fenêtre), est bien connu des experts en cybersécurité, mais le deuxième, baptisé Cannon, est entièrement nouveau selon Palo Alto Networks.

Une fois installé, Cannon se connecte à un serveur de courriels en arrière-plan et commence à envoyer des captures d’écran à Sofacy. Grâce au canal de communication établi par Cannon, les pirates peuvent ensuite renvoyer des instructions vers l’ordinateur infecté et lui demander d’effectuer différentes actions, comme l’installation d’autres logiciels malveillants.

Le groupe russe pourrait donc s’emparer d’informations confidentielles, comme des mots de passe, des codes de chiffrement ou des fichiers gouvernementaux.

Pour le moment, il n’existe que deux façons de se protéger contre Cannon : garder son antivirus à jour et se méfier de tout courriel contenant un document Word.

Avec les informations de CNet, et Wired

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Cybercriminalité

Techno