L’espionnage représente une menace sérieuse pour les pays et les entreprises. Les hackers ne cessent de trouver de nouveaux outils pour contrôler les systèmes d’information à travers le monde. Récemment encore, des chercheurs ont découvert un outil d’espionnage non documenté qui aurait été utilisé contre certains gouvernements et infrastructures critiques.
En effet, l’équipe Symantec Threat Hunter de Broadcom a annoncé que la porte dérobée, connue sous le nom de Daxin, est un logiciel malveillant technologiquement avancé. Ce malware permettrait aux attaquants de mener diverses opérations de communication et de collecte d’informations sur les systèmes des entreprises.
Ce malware, divulgué pour la dernière fois en novembre 2021, ciblerait principalement des entreprises des secteurs de la communication, du transport et de la fabrication stratégique.
Le programme, implanté sous la forme d’un pilote Windows, met en œuvre un mécanisme de communication bien structurée. Ce dernier permet au logiciel malveillant de communiquer même avec des machines qui ne sont pas physiquement connectées à Internet. Pour y parvenir, il évite expressément d’exécuter ses propres services réseau et utilise à la place les services TCP/IP légitimes déjà en cours d’exécution sur la machine infectée.
Outre le fait de ne générer de trafic réseau suspect, Daxin a la capacité unique de transmettre des commandes au sein d’une organisation infectée à travers un réseau d’ordinateurs. Grâce à ces requêtes, il crée ainsi un canal de communication multinœuds qui permet un accès multiple aux ordinateurs sur une longue période de temps.
« Le malware Daxin est une porte dérobée rootkit hautement sophistiquée avec une fonctionnalité complexe et furtive de commande et de contrôle(C2) qui permet aux acteurs distants de communiquer avec des appareils non connectés directement à L’Internet. »
L’Agence américaine de cybersécurité et de sécurité des infrastructures
Symantec affirme avoir trouvé des similitudes avec le code du malware Exforel qui est également connu sous le nom de Zala. Ainsi, les chercheurs suggèrent que Daxin pourrait avoir été créé par la même organisation ou un groupe ayant eu accès à sa base de code.
Par ailleurs, même si ces activités ne peuvent être attribuées à un seul attaquant, la chronologie de l’attaque suggère que Daxin a été installé sur les mêmes systèmes que ceux sur lesquels d’autres logiciels espions chinois (par exemple, Slug) ont été découverts.
Introduction La cybersécurité est devenue une priorité stratégique pour toutes les entreprises, grandes ou petites.…
Cybersécurité : les établissements de santé renforcent leur défense grâce aux exercices de crise Face…
La transformation numérique du secteur financier n'a pas que du bon : elle augmente aussi…
L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…
Telegram envisage de quitter la France : le chiffrement de bout en bout au cœur…
Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le…
This website uses cookies.