Les experts de Kaspersky Lab ont découvert une série d’attaques ciblées « invisibles » utilisant exclusivement des logiciels légitimes : des outils très répandus de test de pénétration et d’administration ou encore le framework PowerShell pour l’automatisation des tâches dans Windows, qui n’installent aucun fichier malveillant sur le disque dur mais se cachent en mémoire. Cette méthode permet d’éviter la détection par des techniques de liste blanche et ne laisse aux enquêteurs quasiment aucun indice ou échantillon de malware exploitable. Les auteurs des attaques restent dans la machine juste assez longtemps pour y collecter des informations, avant que leurs traces ne soient effacées du système au premier redémarrage.

Vers la fin de 2016, les experts de Kaspersky Lab ont été contactés par des banques de l’ex-URSS, ayant constaté un usage fréquent du logiciel de test de pénétration Meterpreter à des fins malveillantes, dans la mémoire de leurs serveurs là où il n’était pas censé se trouver. Kaspersky Lab a découvert que le code Meterpreter était associé à un certain nombre de scripts PowerShell légitimes et d’autres utilitaires. Ces outils combinés avaient été adaptés dans du code malveillant capable de se dissimuler en mémoire, pour la collecte invisible des mots de passe des administrateurs système de sorte que des cybercriminels puissent prendre à distance le contrôle de la machine de leurs victimes. L’objectif ultime paraît être d’accéder à des processus financiers.

Kaspersky Lab a depuis découvert que ces attaques s’opèrent à une échelle massive, touchant plus

de 140 réseaux d’entreprise dans différents secteurs d’activité, la plupart des victimes se trouvant aux Etats-Unis, en France, en Equateur, au Kenya, au Royaume-Uni et en Russie.

Au total, des infections ont été enregistrées dans 40 pays.

Nul ne sait qui se cache derrière ces attaques. En raison de l’utilisation de code d’exploitation open source, d’utilitaires Windows courants et de domaines inconnus, il est quasi impossible de déterminer le groupe responsable, ni même s’il s’agit d’un seul groupe ou de plusieurs groupes partageant les mêmes outils. Les groupes connus qui emploient les méthodes les plus proches sont et Carbanak.

Des outils de ce type rendent également plus difficile la découverte des détails d’une attaque. Le processus normal de réponse à un incident consiste, pour un enquêteur, à suivre les traces et échantillons laissés sur le réseau par les attaquants. Or, tandis que les données enregistrées sur un disque dur peuvent demeurer accessibles pendant un an après un incident, les indices résidant en mémoire sont effacés au premier redémarrage de l’ordinateur. Heureusement, en l’occurrence, les experts ont pu les intercepter à temps.