Les experts de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky ont découvert une campagne ciblée diffusant Milum, un cheval de Troie capable de prendre à distance le contrôle d’équipements informatiques et ayant notamment visé des entreprises du secteur industriel. Cette opération, toujours active, a été renommée WildPressure.
Les menaces persistantes avancées (APT) sont couramment associées aux types les plus élaborés de cyberattaques : l’assaillant obtient secrètement un accès étendu à un système afin d’y dérober des informations ou d’en perturber le fonctionnement. Ces attaques sont souvent créées et déployées par des acteurs disposant de vastes ressources financières et professionnelles. Le cas de WildPressure n’a pas tardé à retenir l’attention des chercheurs de Kaspersky.
À ce jour, les équipes Kaspersky ont pu observer plusieurs échantillons quasi identiques du cheval de Troie Milum, qui n’ont en commun aucun code similaire avec des campagnes malveillantes connues. Tous ces échantillons se caractérisent par de solides capacités de gestion à distance, ce qui signifie qu’une fois le système infecté, un assaillant peut en prendre le contrôle, et ce depuis n’importe quel endroit. De façon plus précise, le cheval de Troie est notamment capable :
De télécharger et d’exécuter les commandes de son opérateur,
De collecter diverses informations sur la machine attaquée et de les transmettre au serveur de commande et de contrôle (C&C),
De se mettre à jour vers une nouvelle version.
L’équipe du GReAT de Kaspersky avait détecté pour la première fois la propagation de Milum en août 2019. L’analyse du code du malware avait alors révélé que les trois premiers échantillons avaient été créés en mars 2019. D’après les données télémétriques disponibles, les chercheurs de Kaspersky pensent que la plupart des cibles de cette campagne se situent au Moyen-Orient et que la campagne elle-même est encore en cours.
Malheureusement, de nombreuses zones d’ombre demeurent concernant cette campagne, notamment le mécanisme exact de propagation de Milum.
« Toute attaque ciblant le secteur industriel est préoccupante. Les analystes doivent y prêter attention car les conséquences d’une telle attaque peuvent être dévastatrices. Jusqu’à présent, nous n’avons aucun indice nous permettant de penser que les instigateurs de WildPressure ont d’autres intentions que la collecte d’informations sur les réseaux ciblés. Cependant, cette campagne est encore active en ce moment même : nous avons d’ores et déjà découvert de nouveaux échantillons malveillants en plus des trois premiers. À ce stade, nous ignorons ce qu’il pourrait se passer si l’attaque se poursuit, et nous continuons à surveiller la progression de WildPressure. D’ici là, Kaspersky invite les législateurs du monde entier à se positionner fermement contre les attaques destructrices visant les infrastructures civiles », commente Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky.
Pour éviter d’être victime d’une attaque semblable, il est impératif de suivre les conseils des experts de Kaspersky :
Veiller à mettre à jour régulièrement tous les logiciels utilisés dans l’entreprise, en particulier à chaque publication d’un nouveau correctif de sécurité. Les produits de sécurité dotés d’outils d’évaluation des vulnérabilités et de gestion des correctifs peuvent aider à automatiser ces processus.
Choisir une solution de sécurité éprouvée, telle que Kaspersky Endpoint Security, qui offre des fonctions de détection comportementale afin d’assurer une protection efficace contre les menaces connues ou inconnues, notamment les exploitations de vulnérabilités.
Aux côtés de la protection essentielle des postes de travail, installer une solution de sécurité d’entreprise qui détecte les menaces avancées en amont sur le réseau, telle que Kaspersky Anti Targeted Attack Platform.
Sensibiliser le personnel aux mesures élémentaires en matière de cybersécurité, sachant que de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale.
S’assurer que les équipes de sécurité ont accès aux plus récentes informations de veille sur les cybermenaces. Des rapports privés sur les dernières évolutions du paysage des menaces sont accessibles aux clients du service Kaspersky APT Intelligence Reporting.