Uroburos livre quelques secrets de plus
Prenant la suite de G Data, Kaspersky dévoile quelques éléments supplémentaires sur le logiciel espion Uroburos, à commencer par ses vecteurs d’infection.
C’est en début d’année que G Data a présenté ses premières découvertes sur le logiciel espion Uroburos, décrit comme « très complexe et sophistiqué, conçu pour voler des données confidentielles ». Dans un document publié sur son blog, l’Allemand expliquait alors qu’il s’agissait d’un rootkit composé de deux éléments : un pilote et un système de fichiers virtuel chiffré, le premier servant à l’accès au second. Et G Data d’expliquer qu’Uroburos « est capable de prendre le contrôle d’une machine infectée, d’exécuter des commandes arbitraires et de cacher les activités système ». Surtout, son pilote aurait été conçu pour être très furtif et « difficile à identifier ».
Par Kaspersky, ces premières découvertes laissaient de nombreuses questions en suspend, à commencer par « le vecteur d’infection » de celui que le Russe nomme Turla. Et d’expliquer que les attaques ont commencé par du hameçonnage ciblé exploitant des vulnérabilités d’Adobe Reader, avant de s’étendre avec des fichiers .SCR ou encore des attaques de type point d’eau exploitant des failles Java, Flash et Internet Explorer.
Les sites détournés – notamment 5 en .FR - ainsi que les fichiers utilisés pour le hameçonnage ciblé – et leurs noms – soulignent la nature des victimes ciblées : des institutions gouvernementales, des ambassades, des acteurs du domaine de la défense, de la recherche ou encore de la pharmacie.
Selon Kaspersky, la campagne Epic Turla aurait déjà infecté plusieurs centaines d’ordinateurs dans plus de 45 pays. « En juillet 2014, les attaques se poursuivaient, visant activement des utilisateurs en Europe et au Moyen-Orient. » Avec plus de 25 adresses IP infectées, la France apparaît comme la première victime de cette campagne d’espionnage.