Un autre furtif, La porte dérobée rootkit utilisée pour l'espionnage a été découverte. Le malware, surnommé Daxin et Backdoor.Daxin, est capable de mener des attaques contre des réseaux renforcés, ont déclaré les chercheurs de l'équipe Symantec Threat Hunter.
Un regard sur Daxin Backdoor
Daxin est décrit comme un "malware hautement sophistiqué utilisé par les acteurs de la menace liés à la Chine". L'outil a fait preuve d'une complexité technique inédite, et a été utilisé dans des campagnes d'espionnage à long terme contre des gouvernements spécifiques et des organisations d'infrastructures critiques.
Backdoor.Daxin permet aux pirates d'effectuer des opérations sophistiquées de collecte de données contre des cibles d'intérêt stratégique pour la Chine. En fait, Daxin n'est pas le seul outil associé à l'APT chinois (Advanced Persistent Threat) acteurs, découverts sur certains des ordinateurs infectés auxquels Symantec a accédé.
Exactement à quel point Daxin est sophistiqué?
“Daxin est sans aucun doute le logiciel malveillant le plus avancé que les chercheurs de Symantec ont vu utilisé par un acteur lié à la Chine. Compte tenu de ses capacités et de la nature de ses attaques déployées, Daxin semble être optimisé pour une utilisation contre des cibles durcies, permettant aux attaquants de creuser profondément dans le réseau d'une cible et d'exfiltrer des données sans éveiller les soupçons,” selon le rapport.
Il est évident que l'auteur (acteur menaçant) investi « un effort significatif » pour rendre le malware très difficile à détecter. Il est capable de se fondre dans le trafic réseau normal, tout en restant invisible. En outre, il évite notamment de démarrer ses propres services réseau, et abuse à la place des services légitimes déjà exécutés sur les systèmes compromis.
Le malware est également capable de tunnelliser le réseau, permettant aux pirates de communiquer avec des services légitimes sur l'hôte infecté, accessibles depuis n'importe quel ordinateur infecté. Ses autres capacités malveillantes incluent la lecture et l'écriture de fichiers arbitraires, lancer des processus arbitraires et interagir avec eux, détourner des connexions TCP/IP légitimes. Il est également possible de déployer des composants supplémentaires sur l'hôte compromis.
Autres portes dérobées sophistiquées récemment découvertes
Un autre logiciel malveillant de porte dérobée sophistiqué récemment découvert est ChaussetteDétour, ciblant les sous-traitants de la défense basés aux États-Unis. Les chercheurs le décrivent comme une porte dérobée personnalisée, qui peut également servir de porte dérobée de secours au cas où la principale serait supprimée du système compromis. L'analyse montre qu'il est difficile de détecter, car il fonctionne en mode sans fichier et sans socket sur les serveurs Windows concernés.