Les pirates russophones ont utilisé des satellites commerciaux pour masquer les attaques de logiciels malveillants contre les réseaux militaires et gouvernementaux occidentaux, dans le cadre d'une escalade qui inquiète le personnel de sécurité de haut niveau.

Un rapport de Kaspersky Lab affirme que le groupe à l'origine du programme malveillant Ouroboros (également appelé Snake ou Turla) utilise des satellites commerciaux pour accéder à des stations de réception cachées en Afrique et au Moyen-Orient.

Les satellites constituent un front privilégié pour les cyberattaques contre les réseaux militaires et gouvernementaux occidentaux car ils masquent l'emplacement des serveurs de commande et de contrôle utilisés par les pirates pour donner des instructions aux logiciels malveillants situés sur des systèmes infectés..

Il exploite le fait que la plupart des communications envoyées en aval des satellites vers la Terre ne sont pas cryptées et sont donc vulnérables à l'usurpation d'identité. Même si plusieurs étapes supplémentaires sont impliquées, l'escalade de cette méthode a des membres de la communauté de sécurité concernés.

"En sécurité, nous sommes toujours accusés d’avoir répandu le FUD, mais c’est la réalité du monde connecté dans lequel nous vivons." TK Keanini, CTO de Lancope, société spécialisée dans l’analyse de flux pour la surveillance de la sécurité et des performances du réseau. "Ce sont des acteurs de menace talentueux et bien financés, dont le travail est de ne pas faire l'actualité. Alors, considérez-les comme des laissés pour compte."

Il est également extrêmement difficile de retracer ce type d’attaque car la piste meurt souvent rapidement et essayer de l’arrêter complètement s’avère incroyablement difficile..

Une seule façon de l'arrêter

"L'utilisation d'un modem cloné rend plus difficile le blocage du trafic par les fournisseurs de services Internet, car cela aurait un impact sur les utilisateurs légitimes", a ajouté Ian Pratt, PDG et cofondateur de Bromium, une entreprise de protection et de sécurité des terminaux. "Les scélérats peuvent simplement passer au clonage d'un périphérique d'utilisateur légitime différent."

"L'authentification forte des modems d'accès à l'aide d'une clé unique pour chaque périphérique est le seul moyen de bloquer ce type d'attaque, mais ne peut être réalisée que de manière réaliste pour les nouveaux déploiements", a-t-il déclaré..

Avec des organisations gouvernementales, des ambassades et des entreprises en Russie, en Chine et dans une douzaine d'autres pays ciblés, ainsi que des groupes de recherche et des entreprises médicales, la communauté de la sécurité a raison de s'inquiéter de cette méthode de propagation de logiciels malveillants..

  • La liste des menaces en ligne de Flash, malware et ransomware