FireEye, spécialisée dans la sécurité a trouvé des similitudes entre les récentes attaques utilisant la faille zero day dans IE et celles qu'a subit Bit9 en février dernier. La société explique que la connexion entre les deux groupes réside dans l'infrastructure utilisée pour « contrôle et commande ». Elle a retrouvé au sein de cette infrastructure les mêmes malwares, adresses IP et email pour enregistrer les noms de domaines.

L'attaque utilisant la faille zero day d'IE a été baptisée Operation DeputyDog par FireEye et a pris pour cible des industriels, des administrations et des médias au Japon. Sur ces derniers, les trois sites d'informations du pays ont été affectés et les pirates espéraient compromettre les ordinateurs des lecteurs. Ces sites ont enregistrés plus de 75 000 pages vues avant que l'attaque ne soit découverte. A ce moment-là, les pirates étaient apparemment en train de lancer une vaste recherche dans les systèmes des PC compromis. Darien Kindlund, responsable de FireEye Threat Intelligence se veut rassurant, « peut-être que seule une fraction de ces systèmes compromis était vraiment leur objectif. Les autres sont considérés comme des dommages colatéraux ».

Une orientation vers la Chine


Microsoft a reconnu la semaine dernière qu'une faille inconnue dans IE avait été utilisée par des cybercriminels. Elle touche toutes les versions du navigateur. L'attaque sur le Japon a été découverte deux jours après cette annonce. Pour les spécialistes de la sécurité environ 70% des utilisateurs de Windows en entreprise sont des cibles potentielles. Les mêmes personnes estiment que Microsoft va publier en urgence un correctif avant de déployer son patch Tuesday mensuel le 8 octobre prochain.

En février dernier, Bit9 avait révélé le vol de ses certificats de signature de code, permettant ainsi le contournement de la plateforme de sécurité de l'éditeur et l'exécution des programmes malveillants sur les systèmes des clients. Les certificats sont utilisés pour identifier les applications de confiance dans une liste blanche approuvée par le client. Dans un rapport publié la semaine dernière, Symantec a identifié les attaquants de Bit9 comme un groupe nommé Hidden Lynx. Cette formation de pirates existe depuis 2009. Elle a mené de multiples campagnes, y compris sur des organisations « les mieux protégées au monde », dixit Symantec. Toujours selon l'éditeur, l'infrastructure et les outils des pirates sont hébergés sur le réseau chinois.