L’analyse est le résultat d’une étude conjointe d’ESET et d’Avast
ESET s’est récemment associé à Avast pour étudier un outil d’accès à distance répandu et en constante évolution, qui est doté de fonctionnalités de porte dérobée. ESET l’a baptisé Mikroceen. Dans cette analyse conjointe, les chercheurs ont découvert que Mikroceen était utilisé dans des attaques d’espionnage contre des entités gouvernementales et commerciales (dans les secteurs des télécommunications et du gaz) en Asie centrale.
Les pirates ont réussi à s’implanter dans les réseaux ciblés de manière durable, à manipuler des fichiers et prendre des captures d’écran. Les appareils des victimes sont en mesure d’exécuter différentes commandes qui leur sont fournies à distance par des serveurs de commande et de contrôle.
Les chercheurs ont étudié la mise en œuvre personnalisée du modèle client-serveur de Mikroceen, conçu spécialement pour le cyberespionnage. « Les développeurs du malware ont fait de gros efforts pour sécuriser les connexions client-serveur avec leurs victimes. Le malware est exploité à distance par les opérateurs qui ont réussi à pénétrer dans des réseaux d’entreprises très visibles. Nous avons également constaté qu’un ensemble avancé d’outils d’attaque était utilisé. Il s’agit principalement de variantes de techniques d’obscurcissement, » commente Peter Kálnai, le responsable du personnel ESET dans l’équipe de recherche commune.
Mikroceen est en développement continu. Les chercheurs ont noté qu’il utilisait des fonctions de porte dérobée dans différentes campagnes ciblées depuis fin 2017. Parmi les outils utilisés par les pirates pour se déplacer latéralement dans les réseaux infiltrés, les chercheurs d’ESET et d’Avast ont également identifié Gh0st, un ancien outil d’accès à distance bien connu créé en 2008. Il existe de nombreuses similitudes entre Gh0st et Mikroceen ; la principale différence entre les deux outils étant la sécurisation des connexions par un certificat.
Pour plus de détails techniques sur Mikroceen, lisez l’article « Mikroceen: Spying backdoor leveraged in high profile networks in Central Asia » sur WeLiveSecurity.
