Kaspersky dévoile les récentes évolutions de TinyCheck

Kaspersky dévoile les récentes évolutions de TinyCheck

TinyCheck a été créé en 2020, suite à une discussion entre un chercheur de Kaspersky, Félix Aimé et un centre de ressources pour l’égalité hommes/femmes en France. L’organisation aidait un nombre croissant de victimes de stalkerware, mais ne savait pas vraiment comment aborder la dimension technologique du problème. Elle avait besoin d’une solution indétectable, facile à utiliser et permettant de recueillir des preuves. Les chercheurs de Kaspersky se sont donc mis à la recherche d’une solution.

TinyCheck a été développé comme un outil gratuit et open-source, afin que tout le monde puisse le télécharger et contribuer à l’amélioration du logiciel. TinyCheck ne s’installe pas sur un smartphone, mais utilise un dispositif externe séparé : un micro-ordinateur Raspberry Pi. TinyCheck vise à faciliter la détection des logiciels de harcèlement sur l’appareil d’une victime, de manière simple, rapide et non invasive. Il peut fonctionner sur n’importe quel système d’exploitation sans alerter l’auteur du crime. TinyCheck peut être utilisé en toute sécurité. Il ne lit pas le contenu des communications d’une personne (SMS, e-mails, etc.), mais interagit uniquement avec les serveurs/IP en ligne avec lesquels le smartphone communique. En d’autres termes, TinyCheck ne saura pas avec qui une personne parle, ni de quoi elle discute. La capture réseau de l’appareil analysé n’est partagée nulle part : ni Kaspersky, ni aucune autre partie ne recevra ces données. Toute l’analyse est effectuée localement.

Au fil des ans, de plus en plus d’ONG ont testé et mis en œuvre TinyCheck. Bruno Pérez Juncá, membre honoraire de l’association Stop Gender Violence partage son expérience avec TinyCheck : « Je travaille depuis de nombreuses années avec des associations de lutte contre les violences faites aux femmes, et TinyCheck apporte une réponse au besoin des victimes, et plus largement de la population. TinyCheck ressemble beaucoup à un test antigénique : c’est un moyen rapide, économique et fiable de réaliser un premier diagnostic pour déceler une infection sur un appareil mobile. »

Plus récemment, TinyCheck a également attiré l’attention des institutions européennes, des journalistes et des entreprises. Les organismes chargés de l’application de la loi et les organes judiciaires en Europe le testent actuellement pour mieux prendre en charge les victimes dans le cadre d’une déposition ou d’une enquête.

Disponible en ligne aujourd’hui, le hub TinyCheck est le point d’information idéal pour en savoir davantage sur l’outil et ses applications, et pour contribuer à son développement en contactant l’équipe. Kaspersky est toujours à la recherche de nouveaux partenaires pour sensibiliser les gens aux sujets importants que sont les stalkerwares et les spywares, et pour trouver de nouvelles façons d’aider les victimes.

Dans son dernier rapport, disponible sur securelist (et en français sur demande), Kaspersky établit le lien entre le harcèlement en ligne et le harcèlement « réel ». 24 % des personnes interrogées ont déclaré avoir été espionnées à l’aide des nouvelles technologies, et 25 % ont confirmé avoir subi des violences ou des abus de la part de leur partenaire. Nous avons constaté la même corrélation dans la plupart des pays dans lesquels l’enquête a été menée. Malheureusement, le phénomène de la violence et de l’espionnage en ligne est trop peu connu, et sous-estimé. C’est pour cette raison qu’en 2019, Kaspersky a co-fondé la Coalition Against Stalkerware, un groupe international qui se consacre à la lutte contre les logiciels de harcèlement et à la lutte contre les violences domestiques.

Kaspersky découvre une porte dérobée peu détectée

Kaspersky découvre une porte dérobée peu détectée

Une fois propagé, SessionManager rend possible un large éventail d’activités malveillantes, allant de la collecte d’emails au contrôle total de l’infrastructure de la victime. Utilisée pour la première fois fin mars 2021, la porte dérobée récemment découverte a touché des institutions gouvernementales et des ONG en Afrique, en Asie du Sud, en Europe et au Moyen-Orient. La plupart des organisations ciblées sont toujours compromises à ce jour.

En décembre 2021, Kaspersky découvrait Owowa, un module IIS jusqu’alors inconnu qui vole les identifiants saisis par un utilisateur lorsqu’il se connecte à Outlook Web Access (OWA). Depuis, les experts de Kaspersky ont surveillé ce nouveau phénomène d’activité cybercriminelle. Le déploiement d’une porte dérobée au sein d’IIS se révèle clairement être une tendance parmi les acteurs de la menace, qui exploitaient précédemment l’une des vulnérabilités de type « ProxyLogon » au sein des serveurs Microsoft Exchange. Lors d’une récente enquête, les experts de Kaspersky ont découvert un nouveau module indésirable de porte dérobée, baptisé SessionManager.

Le backdoor SessionManager permet aux acteurs malveillants de conserver un accès permanent et plutôt discret à l’infrastructure informatique de l’organisation ciblée, tout en résistant aux mises à jour. Une fois installée dans le système de la victime, la porte dérobée (backdoor) permet aux cybercriminels à son origine d’accéder aux courriels de l’entreprise, mettre à jour d’autres accès malveillants en installant d’autres types de logiciels malveillants, ou gérer clandestinement des serveurs compromis, pouvant servir d’infrastructure malveillante.

SessionManager se distingue notamment par son faible taux de détection. Découverts pour la première fois par les chercheurs de Kaspersky en début d’année 2022, certains des échantillons de backdoor n’étaient toujours pas signalés comme malveillants par les services les plus populaires d’analyse de fichiers. À ce jour, SessionManager est toujours déployé dans plus de 90 % des organisations ciblées, selon une analyse Internet réalisée par les chercheurs de Kaspersky.

Au total, 34 serveurs de 24 organisations d’Europe, du Moyen-Orient, d’Asie du Sud et d’Afrique ont été infiltrés par SessionManager. L’acteur qui exploite SessionManager montre un intérêt particulier pour les ONG et les entités gouvernementales, mais il cible aussi entre autres les organismes médicaux, les compagnies pétrolières et les sociétés de transport.

En raison d’une victimologie similaire et de l’utilisation de la variante commune « OwlProxy », les experts de Kaspersky pensent que le module IIS malveillant pourrait avoir été exploité par l’acteur malveillant GELSEMIUM, dans le cadre de ses opérations d’espionnage.

« Afin de protéger leurs actifs, il est primordial pour les entreprises d’obtenir une visibilité sur les cybermenaces réelles et récentes. De telles attaques peuvent entraîner des pertes financières ou de réputation importantes et perturber les opérations d’une cible. Seuls les renseignements sur les menaces permettent de les anticiper de manière fiable et opportune. Dans le cas des serveurs Exchange, on ne le dira jamais assez : les vulnérabilités de l’année dernière en ont fait des cibles parfaites, quelle que soit l’intention malveillante, et ils doivent donc être soigneusement audités et surveillés à la recherche d’implants cachés, si ce n’est déjà fait », ajoute Pierre Delcher.

Les produits Kaspersky détectent plusieurs modules IIS malveillants, dont SessionManager.

Pour en savoir plus sur le mode de fonctionnement et les cibles de SessionManager, visitez Securelist.com.

Pour protéger vos entreprises de ces menaces, les experts de Kaspersky vous recommandent également de :

● Vérifier régulièrement les modules IIS chargés sur les serveurs IIS exposés (notamment les serveurs Exchange), en exploitant les outils existants de la suite de serveurs IIS. Vérifiez ces modules dans le cadre de vos activités de traque de menaces chaque fois qu’une vulnérabilité majeure est annoncée sur les produits serveur Microsoft.

● Concentrer votre stratégie de défense sur la détection des mouvements latéraux et l’exfiltration de données vers Internet. Portez une attention particulière au trafic sortant pour détecter les connexions cybercriminelles. Sauvegardez régulièrement vos données. Assurez-vous de pouvoir y accéder rapidement en cas d’urgence.

● Utiliser des solutions telles que Kaspersky Endpoint Detection and Response et le service Kaspersky Managed Detection and Response, qui permettent d’identifier et de stopper l’attaque à un stade précoce, avant que les attaquants n’atteignent leurs objectifs.

● Utiliser une solution fiable de sécurisation des points d’accès, telle que Kaspersky Endpoint Security for Business (KESB) qui fonctionne par la prévention des exploitations, la détection des comportements, et grâce à un moteur de remédiation capable de faire reculer les actions malveillantes. KESB dispose également de mécanismes d’auto-défense qui peuvent empêcher sa suppression par les cybercriminels.