L’espionnage représente une menace sérieuse pour les pays et les entreprises. Les hackers ne cessent de trouver de nouveaux outils pour contrôler les systèmes d’information à travers le monde. Récemment encore, des chercheurs ont découvert un outil d’espionnage non documenté qui aurait été utilisé contre certains gouvernements et infrastructures critiques.
En effet, l’équipe Symantec Threat Hunter de Broadcom a annoncé que la porte dérobée, connue sous le nom de Daxin, est un logiciel malveillant technologiquement avancé. Ce malware permettrait aux attaquants de mener diverses opérations de communication et de collecte d’informations sur les systèmes des entreprises.
Ce malware, divulgué pour la dernière fois en novembre 2021, ciblerait principalement des entreprises des secteurs de la communication, du transport et de la fabrication stratégique.
Le programme, implanté sous la forme d’un pilote Windows, met en œuvre un mécanisme de communication bien structurée. Ce dernier permet au logiciel malveillant de communiquer même avec des machines qui ne sont pas physiquement connectées à Internet. Pour y parvenir, il évite expressément d’exécuter ses propres services réseau et utilise à la place les services TCP/IP légitimes déjà en cours d’exécution sur la machine infectée.
Outre le fait de ne générer de trafic réseau suspect, Daxin a la capacité unique de transmettre des commandes au sein d’une organisation infectée à travers un réseau d’ordinateurs. Grâce à ces requêtes, il crée ainsi un canal de communication multinœuds qui permet un accès multiple aux ordinateurs sur une longue période de temps.
« Le malware Daxin est une porte dérobée rootkit hautement sophistiquée avec une fonctionnalité complexe et furtive de commande et de contrôle(C2) qui permet aux acteurs distants de communiquer avec des appareils non connectés directement à L’Internet. »
L’Agence américaine de cybersécurité et de sécurité des infrastructures
Symantec affirme avoir trouvé des similitudes avec le code du malware Exforel qui est également connu sous le nom de Zala. Ainsi, les chercheurs suggèrent que Daxin pourrait avoir été créé par la même organisation ou un groupe ayant eu accès à sa base de code.
Par ailleurs, même si ces activités ne peuvent être attribuées à un seul attaquant, la chronologie de l’attaque suggère que Daxin a été installé sur les mêmes systèmes que ceux sur lesquels d’autres logiciels espions chinois (par exemple, Slug) ont été découverts.
Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières Le 17…
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur les…
Directive NIS 2 : Comprendre les nouvelles obligations en cybersécurité pour les entreprises européennes La…
Alors que la directive européenne NIS 2 s’apprête à transformer en profondeur la gouvernance de…
L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…
Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au…
This website uses cookies.