Un outil de reconnaissance réseau vise l’énergie
Symantec a découvert un logiciel malveillant collectant de l’information sur les systèmes compromis et ciblant spécifiquement le secteur de l’énergie. Le Moyen-Orient apparaît en première ligne.
Symantec a découvert un logiciel malveillant collectant de l’information sur les systèmes compromis et ciblant spécifiquement le secteur de l’énergie. Le Moyen-Orient apparaît en première ligne. Dans un billet de blog, l’éditeur détaille ses trouvailles sur celui qu’il a baptisé Laziok.
Sans surprise, le logiciel se propage initialement via des pourriels. Ceux-ci contiennent un cheval de Troie – typiquement, un fichier Excel – exploitant une vulnérabilité ActiveX et référencée CVE-2012-0158. Ancienne, elle permet de forcer l’exécution de code à distance et, dans le cas présent, l’installation de la charge malicieuse. Des mises à jour ont été proposées par Microsoft, mais elles ne semblent pas avoir été systématiquement déployées.
Laziok est un outil de reconnaissance qui commence par collecter des informations sur le poste infecté, avant de les retourner aux attaquants qui le contrôlent. Au programme, notamment, le nom et la version d’éventuels logiciels anti-virus.
De vieilles failles toujours béantes
Symantec explique que les pirates en profitent alors pour infecter les machines compromises avec d’autres logiciels malveillants, notamment des copies personnalisées de Cyberat et Zbot, « spécifiquement taillées pour le profil de l’ordinateur compromis ».
Pour l’éditeur, le groupe à l’origine de cette campagne ciblée « ne semble pas particulièrement avancé ». Mais « de nombreuses personnes continuent d’échouer à appliquer les correctifs pour des vulnérabilités vieilles de plusieurs années, se laissant ouvertes à des attaques de ce type ».
Une conclusion qui renvoie à un message répété et répétable à l’envi. Récemment encore, l’agence française de sécurité des systèmes d’information (Anssi) attirait l’attention des PME sur l’importance de l’application régulière des correctifs de sécurité.
Et la dernière édition de l’étude HP sur le visage de la menace relevait que 44 % des brèches connues de 2014 « trouvent leur origine dans des vulnérabilités vieilles de 2 à 4 ans ». Pour le groupe, ce sont « des avenues » d’autant plus larges que « les attaques venant des années passées continuent de constituer une menace significative pour la sécurité des entreprises ». Encore.