Les experts G DATA ont analysé l’évolution du malware utilisé dans plusieurs attaques ciblées.
Les cyberattaques ciblant les institutions gouvernementales, les grandes entreprises ou les organisations internationales ont pris de l’ampleur ces dernières années. G DATA a analysé 7 ans d‘évolution de l‘Agent.BTZ, l’une des armes de ces attaques. Détecté pour la première fois en 2008 dans une attaque ciblant le Pentagone américain, il a également éte utilisé en 2014 dans la campagne d’espionnage Uroburos.
En novembre 2014, G DATA mettait à jour la campagne d’attaque Uroburos. Celle-ci avait touché de nombreuses institutions dont notamment les ministères des affaires étrangères belge et finlandais. De cette attaque ont suivi la découverte et l’analyse détaillée d’Agent.BTZ, successeur de ComRAT.
Les experts du G DATA SecurityLabs ont passé au crible Agent.BTZ et ComRAT – au total 46 échantillons différents provenant d’une période de sept ans ont été analysés.
Des évolutions constantes
Jusqu’à la version 3.00, détectée en 2012, des changements mineurs avaient été réalisés dans le logiciel. Ceux-ci se cantonnent à des adaptations liées aux nouvelles versions de Windows, des erreurs de programmation et de nouvelles méthodes de dissimulation. L’arrivée de la version 3.00 est une rupture et à impliqué un changement d’appellation. De nombreuses améliorations sont intégrées, notamment au niveau du mécanisme d’infection et de la communication avec les serveurs de commandes (C&C). Agent.BTZ devient alors ComRAT.
Les analystes G DATA sont certains que le groupe derrière Uroburos, Agent.BTZ et ComRAT va continuer à être actif dans le domaine du malware et de l’APT (Advanced Persistent Threat). D’autres éléments laissent à penser que d’autres attaques sont à attendre.