0

L’opération BugDrop ou lorsque Word devient une arme pour pirates

L’opération BugDrop ou lorsque Word devient une arme pour piratesUn logiciel malicieux performant aurait permis à un État de voler des données et d’enregistrer des conversations chez plus de 70 cibles importantes, incluant des entreprises concevant des systèmes de surveillance de pipelines, des groupes de recherche et des journaux, selon ce qu’a révélé la semaine dernière la firme de sécurité CyberX. Au cœur de cette attaque : un subterfuge simple, mais efficace, utilisant Microsoft Word.

L’opération BugDrop aurait permis à des pirates malveillants, fort probablement financés par un État, d’enregistrer tout ce que captaient les microphones des ordinateurs de leurs cibles, en plus de sauvegarder des captures d’écran, des documents (sur disques durs locaux, réseaux et clés USB) et des mots de passe enregistrés dans les navigateurs web, a révélé CyberX dans un billet de blogue.

Plus de 600 Go de données auraient ainsi été sauvegardés, puis téléversés dans des comptes Dropbox accessibles aux pirates. Parmi les organisations et entreprises ciblées par l’attaque, notons des groupes liés à la gestion de pipelines, une organisation pour la protection des droits de l’homme, un institut de recherche scientifique, plusieurs journaux et une entreprise d’ingénierie concevant des systèmes électriques, des réseaux de distribution de gaz naturel et des réservoirs d’eau.

Les cibles de l’attaque étaient principalement ukrainiennes. Rappelons que le pays en conflit avec la Russie a été victime d’une attaque informatique de son réseau électrique à deux reprises depuis 2015. CyberX n’a toutefois pas été en mesure de déterminer la provenance de l’opération BugDrop.

Attention aux documents Word

L’opération BugDrop n’a rien à voir avec monsieur et madame Tout-le-monde au Canada, mais le moyen utilisé pour accéder aux systèmes informatiques ciblés mérite tout de même d’être observé de plus près, puisqu’il pourrait facilement être utilisé pour d’autres attaques.

Comme c’est souvent le cas, l’attaque a commencé par de l’ingénierie sociale, où des documents Word ont simplement été envoyés par courriel à des employés des organisations ciblées.

Le document en question contenait un code VBScript, qui a permis une cascade d’événements, incluant le téléchargement du véritable logiciel malicieux (qui aurait probablement été détecté s’il avait simplement été envoyé par courriel).

Détail intéressant, Microsoft Word désactive par défaut l’exécution de commandes avancées du genre. Pour assurer le bon fonctionnement de leur manœuvre, les pirates malveillants ont donc ajouté au fichier une image ressemblant à une véritable boîte de dialogue Word, indiquant que le document avait été créé avec une version plus récente de Microsoft Office, et qu’il fallait activer les macros pour l’afficher correctement.

L’attaque illustre l’un des points faibles des systèmes de protection contre les virus et les logiciels malveillants : en étant trop stricts, ceux-ci doivent régulièrement pouvoir être contournés facilement par l’utilisateur, qui n’hésite plus à le faire lorsqu’une situation véritablement importante survient.

Tous les fichiers Word téléchargés d’Internet s’ouvrent en mode protégé, et l’utilisateur moyen doit ainsi constamment désactiver ce mode. Quand un document vraiment dangereux est téléchargé, et que son message d’avertissement est crédible, l’utilisateur réactive donc les macros (ce qui se fait simplement en cliquant sur une boîte de dialogue, de la même façon que l’on désactive le mode protégé) sans se poser de questions.

Soyez honnêtes, combien de gens parmi vous se seraient fait avoir si le document avait été envoyé par une adresse courriel crédible et si le faux message d’avertissement avait été rédigé en français?

 

Rubriques : À la Une Mots-clés : ,
© 2002 - 2017 Atlas Media. Tous droits réservés.
Propulsé par Noordev Technologies inc