Plusieurs gouvernements ciblés par des attaques d’espionnage

How algorithms come into being

L’espionnage représente une menace sérieuse pour les pays et les entreprises. Les hackers ne cessent de trouver de nouveaux outils pour contrôler les systèmes d’information à travers le monde. Récemment encore, des chercheurs ont découvert un outil d’espionnage non documenté qui aurait été utilisé contre certains gouvernements et infrastructures critiques.

En effet, l’équipe Symantec Threat Hunter de Broadcom a annoncé que la porte dérobée, connue sous le nom de Daxin, est un logiciel malveillant technologiquement avancé. Ce malware permettrait aux attaquants de mener diverses opérations de communication et de collecte d’informations sur les systèmes des entreprises.

Ce malware, divulgué pour la dernière fois en novembre 2021, ciblerait principalement des entreprises des secteurs de la communication, du transport et de la fabrication stratégique.

Un mécanisme impressionnant de communication avec les systèmes distants

Le programme, implanté sous la forme d’un pilote Windows, met en œuvre un mécanisme de communication bien structurée. Ce dernier permet au logiciel malveillant de communiquer même avec des machines qui ne sont pas physiquement connectées à Internet. Pour y parvenir, il évite expressément d’exécuter ses propres services réseau et utilise à la place les services TCP/IP légitimes déjà en cours d’exécution sur la machine infectée.

Illustration d'un cheval de trois informatique

Outre le fait de ne générer de trafic réseau suspect, Daxin a la capacité unique de transmettre des commandes au sein d’une organisation infectée à travers un réseau d’ordinateurs. Grâce à ces requêtes, il crée ainsi un canal de communication multinœuds qui permet un accès multiple aux ordinateurs sur une longue période de temps.

« Le malware Daxin est une porte dérobée rootkit hautement sophistiquée avec une fonctionnalité complexe et furtive de commande et de contrôle(C2) qui permet aux acteurs distants de communiquer avec des appareils non connectés directement à L’Internet. »

L’Agence américaine de cybersécurité et de sécurité des infrastructures

Quelques pistes pour identifier les attaquants

Symantec affirme avoir trouvé des similitudes avec le code du malware Exforel qui est également connu sous le nom de Zala. Ainsi, les chercheurs suggèrent que Daxin pourrait avoir été créé par la même organisation ou un groupe ayant eu accès à sa base de code.

Par ailleurs, même si ces activités ne peuvent être attribuées à un seul attaquant, la chronologie de l’attaque suggère que Daxin a été installé sur les mêmes systèmes que ceux sur lesquels d’autres logiciels espions chinois (par exemple, Slug) ont été découverts.