Apple, Facebook, et Microsoft cibles de cyber-espions
Selon une nouvelle étude, un groupe de pirates mystérieux a frappé plusieurs grandes entreprises américaines à des fins d’espionnage industriel.
Un groupe de pirates sophistiqué a attaqué de grandes entreprises telles qu’Apple, Facebook et Microsoft au cours des dernières années à des fins d’espionnage industriel. C’est du moins ce qu’affirment Symantec et Kaspersky Lab dans des rapports publiés ce mercredi 8 juillet.
Symantec se réfère à ce groupe sous le nom de Morpho, quand Kaspersky l’appelle Wild Neutron. Selon eux, il ne s’agit pas d’un acteur adossé à un état, mais il n’en est pas moins puissant et doté d’importants ressources, et se concentre sur les gains financiers.
« Ce groupe opère à un niveau bien plus élevé que gang de cybercriminels moyens », indique ainsi Symantec. « Il ne s’intéresse pas au vol de détails de cartes bancaires ou de bases de données clients, mais se concentre sur les informations d’entreprises de haut niveau. Morpho peut vendre ces informations au plus offrant, ou opérer en mercenaire. Les informations volées pourraient également être utilisées à des fins de délit d’initié ».
Selon Kaspersky, le groupe est actif depuis 2011, mais a gagné sa notoriété en 2013 en s’attaquant avec succès à Apple, Facebook, Microsoft et Twitter, via l’exploitation d’une faille Java inédite via des attaques par point d’eau.
Après la révélation de ces attaques, le groupe de pirates s’est fait discret, selon les rapports. Mais Kaspersky assure qu’il a repris ses activités fin 2013 et affecté de nombreuses entreprises dans les secteurs de la justice, de la santé, de l’immobilier et des technologies, dont certaines liées à Bitcoin, des groupes d’investisseurs et des cabinets spécialistes des fusions et acquisitions.
Symantec indique que son enquête a montré que le groupe a affecté quelque 49 organisations dans plus de 20 pays. Selon Kaspersky, la dernière vague d’attaques du groupe a impliqué un certificat numérique dérobé à Acer, ainsi qu’un exploit Flash Player inédit.
Pour l’éditeur russe, le groupe se distingue dans son approche et dans sa spécification dans l’espionnage industriel : « comparé aux autres groupes utilisant des attaques avancées persistantes, Wil Neutron est l’un des plus originaux que nous ayons analysé et suivi ». Et d’ajouter que, « actif depuis 2011, le groupe a utilisé au moins un exploit inédit, des logiciels malveillants et des outils à façon, et a réussi à maintenir une sécurité opérationnelle relativement solide, échappant jusqu’ici à la plupart des efforts d’attribution ».
De fait, ni Kaspersky ni Symantec n’ont déterminé l’origine des attaques. Pour le second, l’activité des serveurs de commande et de contrôle du groupe atteint ses plus hauts au cours des heures ouvrées aux Etats-Unis, suggérant que certains, sinon tous ses membres, travaillent dans la région. Mais les deux éditeurs avertissent : le groupe est toujours actif à ce jour.
Adapté de l’anglais.