Des chercheurs découvrent que les implants MiniDuke mis à jour en 2013 n’ont pas disparu et sont même utilisés dans le cadre de cyber attaques actives ciblant les gouvernements et d’autres entités.
En outre, la nouvelle plate-forme MiniDuke, appelée BotGenStudio, pourrait non seulement être utilisée par des cybercriminels dans le cadre d’attaques ciblées, mais également par des forces de l’ordre et des criminels traditionnels. La nouvelle vague d’attaques enregistrée en 2014 est quelque peu différente de celle décelée en 2013.
Mode opératoire
La nouvelle backdoor principale de MiniDuke (appelé TinyBaron ou CosmicDuke) est codée grâce à un framework personnalisable appelé BotGenStudio. Il est suffisamment flexible pour activer ou désactiver des composants lorsque le bot est construit. Les composants peuvent être divisés en 3 groupes : persistance (le malware peut se lancer via Windows Task Scheduler), reconnaissance (le malware peut voler un grand nombre d’informations) et exfiltration (le malware dépose plusieurs connecteurs réseaux pour aspirer les données)
Typologie de cibles
Alors qu’en 2013 MiniDuke était utilisé pour cibler des entités gouvernementales, la nouvelle version CosmicDuke cible également les organisations diplomatiques, le secteur de l’énergie, les opérateurs télécoms, des prestataires dans l’armée mais également des individus impliqués dans la vente et le trafic de substance illicites (notamment des stéroïdes et des hormones).
Zones géographiques ciblées
Les utilisateurs des anciens serveurs MiniDuke ciblent la France, l’Australie, la Belgique, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne, l’Ukraine et les Etats-Unis. CosmicDuke est plutôt intéressé par la Grande Bretagne, les Etats Unis, la Géorgie, la Russie, le Kazakhstan, l’Inde, le Belarus, Chypre, l’Ukraine et la Lituanie.
Rythme de travail classique
Les cybercriminels semblent travailler selon un rythme de travail classique du lundi au vendredi, même s’il leur arrive de travailler le week-end également. Leurs horaires de travail sont également classiques : de 7h à 20h CET (mais la majeur partie du travail est réalisée entre 7h et 17h). (Kaspersky)