Posté le juin 23, 2020 à 16:06
LES HACKERS UTILISENT JAVA POUR DISSIMULER DES LOGICIELS MALVEILLANTS SUR LE RÉSEAU DES CENTRES DE DONNÉES
Le département américain de la sécurité intérieure a averti la semaine dernière que les cybercriminels utilisent des serveurs de bureau distants pour lancer une attaque sur les centres de données.
Pour s’assurer que leurs activités soient plus difficiles à découvrir, les hackers utilisent Javascript pour écrire leurs logiciels malveillants, un langage que les logiciels antivirus contournent généralement lorsqu’ils recherchent des logiciels malveillants.
L’agence a également déclaré que la situation ne peut pas être corrigée simplement en restaurant les données à partir de la sauvegarde en raison du niveau d’accès obtenu avant le déploiement du logiciel de rançon.
Les attaquants utilisent une méthode très sophistiquée
Le logiciel malveillant, connu sous le nom de Tycoon, a été découvert par l’équipe de KPMG et Blackberry. Selon les chercheurs en sécurité, il utilise le format d’image Java pour propager le logiciel rançon aux serveurs Linux et Windows.
« Java utilise ce format en interne pour partager les fonctionnalités et le code à utiliser par les développeurs », a déclaré l’équipe de recherche.
L’approche de piratage par les attaquants montre qu’ils utilisent des mécanismes très complexes et sophistiqués pour leurs activités de piratage. L’équipe de recherche a également souligné que c’est la première fois qu’un logiciel malveillant utilise le format Java JImage pour établir un environnement d’exécution Java intégré et malveillant.
Les logiciels malveillants utilisés pour paralyser les systèmes
Selon les rapports de l’équipe de recherche, le logiciel malveillant a été utilisé dans le cadre d’une attaque complexe destinée à cibler les services de l’entreprise, à paralyser leur système et à causer autant de dégâts que possible.
Le logiciel de rançon a une version antérieure qui présentait un défaut. En conséquence, les chercheurs ont pu fournir un système pour aider à protéger les victimes. Mais il n’y a pas de défaut connu dans la nouvelle version, ce qui la rend très difficile à découvrir et à maîtriser.
En parlant du logiciel malveillant, le directeur de la recherche et du renseignement chez Blackberry, Claudui Teodorescu, a déclaré que les entreprises peuvent encore se déplacer et récupérer leurs fichiers de la version précédente du logiciel malveillant. Mais cette dernière version, sans aucun défaut, rend difficile la récupération des fichiers.
Selon lui, les deux seules options pour l’entreprise concernée sont de disposer d’une sauvegarde à partir de laquelle elle pourra restaurer ses fichiers ou de satisfaire à ses exigences en payant la rançon.
Mise à niveau vers des terminaux plus modernes
Les chercheurs en sécurité ont conseillé aux responsables des centres de données de ne pas se fier entièrement aux sociétés d’antivirus pour savoir comment détecter les logiciels malveillants basés sur Java. Ils devraient plutôt mettre à niveau leur système vers un système de réponse plus sophistiqué au niveau des points d’extrémité. Ces systèmes sont capables de détecter les comportements des logiciels malveillants afin de les empêcher de poursuivre leurs activités.
Des autres langages sont également visés
Bien que l’équipe de KPMG et Blackberry ait récemment publié tous les renseignements sur ce logiciel malveillant, celui-ci existe et est opérationnel depuis la fin de l’année dernière. Mais le nombre de victimes reste limité.
Certains chercheurs ont également signalé que le logiciel malveillant pourrait être disponible dans d’autres langues. Selon Marcus Carey de ReliaQuest, et auteur de « Tribe of Hackers », le blocage du langage Java n’est pas une option viable, car Java est un langage indispensable au fonctionnement de la plupart des systèmes et des réseaux. Lorsque Java est bloqué, cela signifierait refuser à leurs systèmes l’accès à certains programmes écrits en Javascript.
Et ce n’est pas le seul langage que les hackers utilisent. Récemment, Python, Powershell et le nouveau langage de programmation Golang ont été utilisés par des hackers pour dissimuler leurs activités tout en réalisant des exploits.
Les attaques se multiplient
Comme de plus en plus d’employés travaillent à domicile en raison de la pandémie COVID-19, les entreprises utilisent de plus en plus les systèmes d’accès à distance.
Outre les serveurs de protocole de bureau à distance, les bureaux à distance commerciaux et l’informatique de réseau virtuelle sont utilisés. Ces systèmes et réseaux sont de plus en plus utilisés dans l’environnement commercial actuel. Il n’est donc pas surprenant qu’ils fassent l’objet d’attaques malveillantes car les auteurs de ces attaques ont redoublé d’efforts pour atteindre ces cibles.
Dans la plupart des cas, les fabricants et les développeurs de ces outils les déploient d’urgence, ce qui contourne certains protocoles de sécurité. En conséquence, ils sont plus vulnérables aux attaques de piratage.
Par conséquent, les attaquants en profitent pour lancer des séries d’attaques sur des victimes sans méfiance afin de voler des données et d’obtenir des informations précieuses.
