Cyber threats
Barometer

Pas un nouveau mois sans une nouvelle opération contre les auteurs de malwares. Apres l’opération EndGame en mai 2024, suivie par l’opération Morpheus en juin 2024, le mois de juillet 2024 complète la série avec une action d’ampleur visant un réseau de machine zombies infectées par le malware PlugX (S0013).

Un communiqué de presse du tribunal judiciaire de Paris le 25 juillet annonçait le succès d’une opération menée conjointement au niveau international par différents organismes privés et publics.  Succès rendu possible par la prise de contrôle de l’adresse IP d’un serveur de contrôle (C2) et par l’utilisation d’une charge utile spécifique permettant de désinfecter les systèmes contrôlés.

Le malware PlugX (aussi connu sous le nom de Sogu ou RedDelta)n’est pas un inconnu. Ce RAT (Remote Access Trojan) a été identifié en 2008 et ciblait à l’époque des entités Japonaises principalement. Il s’est par la suite étendu en Asie, avant de se propager au reste du monde. La transformation de ce cheval de Troie en ver (un malware ayant la capacité de s’auto-répliquer) semble remonter à l’année 2020.

Contrairement à d’autres botnet exploitant des vulnérabilités ou utilisant des mots de passe par défaut (comme Mirai ou Mozi), PlugX se transmet via clé USB. La publication des détails techniques (mode de transmission, désinfection) souligne deux points importants : Une seule adresse IP lié au serveur C2 ayant été récupéré, d’autres sont par conséquent toujours actives, sans oublier les variantes existantes de ce malware. D’autre part, cette récente opération ne suffira pas à endiguer les infections car si la charge déployée lors du démantèlement est en mesure de désinfecte la clé USB lorsque celle-ci est branchée, des clés infectées et hors d’atteinte restent en circulation.

Cela permet de rappeler qu’une menace n’est pas obsolète simplement parce qu’elle est ancienne, et que certaines bonnes pratiques de sécurité, comme l’analyse automatique des périphériques USB sur les postes de travail, permettent de réduire sensiblement les risques.

Les Botnets (de la contraction de robot network) ou « réseau de machines zombies », désignent un groupe d’équipement sous contrôle d’un même centre de contrôle (C2) ou attaquant. Ces équipements peuvent être des ordinateurs personnels mais également n’importe quel appareil de type IoT (Internet Of Things), c’est-à-dire un objet du quotidien relié à internet, ou équipement réseau.

Les utilisations possibles d’un botnet sont variées. Elles vont de l’attaque par déni de service distribué (DDoS), à la fourniture de réseaux privés virtuels (VPN) aux cybercriminels et peuvent relayer des campagnes de spam, de phishing ou de crypto minage.Parmi les botnets connus, nous pouvons citer Mirai et ses variantes. Ciblant principalement les équipements réseaux et IoT, Mirai se distingue par la capacité de s’auto-répliquer.

Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.

Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.