Casper : encore un malware espion français ?

Le par  |  8 commentaire(s)
Casper.

Après EvilBunny et Babar, aurait-on mis la main sur un autre malware-espion français ? C'est ce que suspecte un expert de la société de sécurité Eset après ses analyses de "Casper".

Le mois dernier, des chercheurs canadiens évoquaient l'implication probable des services de renseignement français dans la conception et le déploiement de deux malware : Babar et sa variante EvilBunny. Aujourd'hui, c'est un autre logiciel qui fait l'objet d'une étude spécifique : Casper.

Hokkaido Japon espionnage trou de serrure Casper a été repéré au mois d'avril dernier sur jpic.gov.sy, le site web du ministère de la Justice syrienne depuis lequel les citoyens étaient amenés à faire des demandes de réparation relatives aux destructions dues à la guerre civile qui sévit dans le pays.

Le chercheur d'Eset Joan Calvet a entrepris d'analyser le malware et en a découvert un peu plus sur son fonctionnement. Casper est un fichier DLL qui se caractérise par l'utilisation de deux failles de type zero-day dans Flash ( CVE-2014-0515), et une analyse du code a rapidement mis en évidence des ressemblances flagrantes avec Babar et EvilBunny.

D'après l'expert, les trois logiciels proviendraient ainsi de la même organisation, ce qui pointe automatiquement vers une agence secrète française. On peut ainsi supposer que la DGSE dispose d'un ensemble de malwares en action dans les réseaux du monde entier.

Casper n'est toutefois pas un outil de collecte massive de données comme ceux de la NSA. Il agit en éclaireur en s'installant sur la machine ciblée et en renvoyant des informations sur les serveurs à son propriétaire : antivirus, pare-feu, réglages, informations système, processus utilisés, configuration... Le but étant ensuite de préparer une attaque sur mesure pour profiter des failles et obtenir les renseignements souhaités.

Son nom n'est pas non plus choisi au hasard puisque le logiciel est un véritable fantôme : pour ne pas déclencher les protocoles de sécurité des systèmes, il analyse en priorité quelle solution antivirus est installée. Si une solution capable de le détecter est en place, il s'autodétruit, dans le cas contraire, il s'installe dans la base de registre.

Impossible à l'heure actuelle de dire si la Syrie a été victime d'espionnage grâce au logiciel, les experts en sécurité indiquent que la plateforme pouvait ne servir que de point de relai permettant de coordonner d'autres attaques tout en camouflant l'identité réelle de l'agence qui contrôle réellement l'action.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1835151
Y'a vraiment que les Français pour se faire griller en masse comme ça
Le #1835176
5COMM a écrit :

Y'a vraiment que les Français pour se faire griller en masse comme ça


Plutôt les Syriens cette fois Et puis bon entre nous avec ça et les USA avec la NSA, c'est pas nous les pires
Le #1835186
"il s'installe dans la base de registre". On parle donc de Windows ici ? Faire tourner un serveur WEB sous Windows, c'est une porte ouverte aux problèmes.
Dès lors qu'on veut de la sécurité, le minimum, c'est de l'open-source que l'on vérifie de A à Z, ligne de code par ligne de code, et que l'on compile soit-même !!!!

Le #1835204
Vikingfr a écrit :

"il s'installe dans la base de registre". On parle donc de Windows ici ? Faire tourner un serveur WEB sous Windows, c'est une porte ouverte aux problèmes.
Dès lors qu'on veut de la sécurité, le minimum, c'est de l'open-source que l'on vérifie de A à Z, ligne de code par ligne de code, et que l'on compile soit-même !!!!


C'est sur les PC Desktop pas sur les serveurs, en même temps ça serait pas très rentable de le faire sur serveurs Windows vu leur part de marché
Le #1835241
Un serveur Web vaut mieux que ce soit sous Linux. Si non, confiner le serveur dans le virtuel. Mais, Linux plus stable, je trouve et plus de possibilité pour les protections. Ayant déjà fait un sous Ubuntu Server.
Le #1835248
"Casper-t-il" faire sur un pc ?
Le #1835249
mart666 a écrit :

"Casper-t-il" faire sur un pc ?


tu sors
Le #1835278
5COMM a écrit :

mart666 a écrit :

"Casper-t-il" faire sur un pc ?


tu sors


Oui, ça m'arrive parfois...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]