Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Des chercheurs découvrent le mystérieux groupe de cyberespionnage "Metador"

Republié par Platon
Republié par Platon

Date :

Vues: 235

LABSCON – Scottsdale, Arizona – Un nouvel acteur malveillant qui a infecté une entreprise de télécommunications au Moyen-Orient et plusieurs fournisseurs de services Internet et universités au Moyen-Orient et en Afrique est responsable de deux plates-formes malveillantes « extrêmement complexes » – mais beaucoup de choses sur le groupe qui reste enveloppé de mystère, selon de nouvelles recherches révélées ici aujourd'hui.

Les chercheurs de SentintelLabs, qui ont partagé leurs découvertes lors de la toute première conférence sur la sécurité LabsCon, ont nommé le groupe Metador, en se basant sur l'expression « Je suis méta » qui apparaît dans le code malveillant et sur le fait que les messages du serveur sont généralement en espagnol. Le groupe serait actif depuis décembre 2020, mais il a réussi à passer inaperçu au cours des dernières années. Juan Andrés Guerrero-Saade, directeur principal de SentinelLabs, a déclaré que l'équipe partageait des informations sur Metador avec des chercheurs d'autres sociétés de sécurité et des partenaires gouvernementaux, mais que personne ne savait rien du groupe.

Les chercheurs de Guerrero-Saade et SentinelLabs Amitai Ben Shushan Ehrlich et Aleksandar Milenkoski ont publié un blog récents ainsi que  détails techniques sur les deux plates-formes malveillantes, metaMain et Mafalda, dans l'espoir de trouver davantage de victimes infectées. "Nous savions où ils se trouvaient, pas où ils se trouvent maintenant", a déclaré Guerrero-Saade.

MetaMain est une porte dérobée qui peut enregistrer l'activité de la souris et du clavier, prendre des captures d'écran et exfiltrer des données et des fichiers. Il peut également être utilisé pour installer Mafalda, un cadre hautement modulaire qui offre aux attaquants la possibilité de collecter des informations système et réseau et d'autres fonctionnalités supplémentaires. MetaMain et Mafalda fonctionnent entièrement en mémoire et ne s'installent pas sur le disque dur du système.

Bande dessinée politique

On pense que le nom du logiciel malveillant a été inspiré par Mafalda, un dessin animé populaire en espagnol d'Argentine qui commente régulièrement des sujets politiques.

Metador a défini des adresses IP uniques pour chaque victime, garantissant ainsi que même si une commande et un contrôle sont découverts, le reste de l'infrastructure reste opérationnel. Cela rend également extrêmement difficile la recherche d’autres victimes. Il arrive souvent que lorsque les chercheurs découvrent une infrastructure d'attaque, ils trouvent des informations appartenant à plusieurs victimes, ce qui permet de déterminer l'étendue des activités du groupe. Parce que Metador maintient ses campagnes ciblées séparément, les chercheurs n'ont qu'une vision limitée des opérations de Metador et du type de victimes que le groupe cible.

Ce qui ne semble pas déranger le groupe, cependant, c'est de se mélanger à d'autres groupes d'attaque. L'entreprise de télécommunications du Moyen-Orient qui était l'une des victimes de Metador était déjà compromise par au moins 10 autres groupes d'attaque d'États-nations, ont découvert les chercheurs. De nombreux autres groupes semblaient être affiliés à la Chine et à l’Iran.

Plusieurs groupes de menaces ciblant le même système sont parfois qualifiés d’« aimant de menaces », car ils attirent et hébergent simultanément différents groupes et plates-formes malveillantes. De nombreux acteurs étatiques prennent le temps d’éliminer les traces d’infection par d’autres groupes, allant même jusqu’à corriger les failles utilisées par les autres groupes, avant de mener leurs propres activités d’attaque. Le fait que Metador ait infecté un logiciel malveillant sur un système déjà compromis (à plusieurs reprises) par d'autres groupes suggère que le groupe ne se soucie pas de ce que feraient les autres groupes, ont déclaré les chercheurs de SentinelLabs.

Il est possible que l'entreprise de télécommunications soit une cible de grande valeur et que le groupe soit prêt à prendre le risque d'être détecté, car la présence de plusieurs groupes sur le même système augmente la probabilité que la victime remarque quelque chose qui ne va pas.

Attaque de requin

Même si le groupe semble disposer de ressources extrêmement importantes – comme en témoignent la complexité technique du malware, la sécurité opérationnelle avancée du groupe pour échapper à la détection et le fait qu'il est en cours de développement actif – Guerrero-Saade a averti que ce n'était pas suffisant. pour déterminer qu’il y avait une implication de l’État-nation. Il est possible que Metador soit le produit d'un entrepreneur travaillant pour le compte d'un État-nation, car certains signes indiquent que le groupe était très professionnel, a déclaré Geurrero-Saadé. Et les membres peuvent avoir une expérience préalable dans la conduite de ce type d'attaques à ce niveau, a-t-il noté.

"Nous considérons la découverte de Metador comme un aileron de requin perçant la surface de l'eau", ont écrit les chercheurs, soulignant qu'ils n'avaient aucune idée de ce qui se passait en dessous. «C'est une source d'inquiétude qui justifie la nécessité pour le secteur de la sécurité d'agir de manière proactive pour détecter les véritables acteurs de la menace qui traversent actuellement les réseaux en toute impunité.»

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.