L'année dernière, le réseau informatique de la Maison-Blanche avait été la cible d'une cyberattaque et d'une intrusion. CNN a reparlé de cette cyberattaque en début de mois pour évoquer un cheminement depuis une intrusion dans le réseau du département d'État, avant de pénétrer des parties sensibles du système d'information de la Maison-Blanche.
La chaîne d'information américaine a pointé du doigt des hackers russes avec en filigrane le soutien du gouvernement russe. Cette fameuse cyberattaque porte la trace de CozyDuke selon un rapport publié par Kaspersky Lab. Le nom d'une APT (menace persistante avancée) autrement connue en tant que CozyBear, CozyCar et Office Monkeys.
Pour l'éditeur de solutions de sécurité, les outils utilisés dans le cadre de CozyDuke " présentent des éléments de structure similaires " à ceux des campagnes de cyberespionnage MiniDuke, CosmicDuke et OnionDuke. Et pour ces dernières, c'était déjà la piste de hackers russophones.
C'est donc désormais un faisceau d'indices qui pointe en direction du Kremlin, étant entendu que des APTs comme celles-ci nécessitent le soutien d'un État. Les attaques n'ont du reste pas uniquement concerné des cibles américaines avec également des organisations gouvernementales en Allemagne, Corée du Sud et Ouzbékistan.
L'attaque CozyDuke débute par du spear phishing, soit en l'occurrence du phishing email très ciblé saupoudré d'ingénierie sociale pour inciter à cliquer sur un lien menant à un site Web infecté. Un site légitime qui a été hacké pour héberger une archive .zip contenant un malware et affiche un fichier PDF vide.
Une autre tactique est l'envoi d'une vidéo Flash infectée en pièce jointe d'un email et au pouvoir manifestement viral dans certains bureaux. Qui saurait résister à Office Monkeys LOL Video.zip…
Pour CozyDuke, dont il faut davantage voir une boîte à outils, Kaspersky Lab souligne des fonctionnalités de chiffrement, des mesures contre la détection par des antivirus et la possibilité de télécharger divers malwares puissants.
