Une vulnérabilité inédite de Windows utilisée pour du cyberespionnage

Microsoft vient de livrer un correctif pour une vulnérabilité inédite découverte avec le cabinet iSight Partners et référencée CVE-2014-4114. Elle est utilisée par des pirates russes pour espionner l’Otan, l’Union européenne, mais également un opérateur télécoms français – non nommé –, des organisations gouvernementales ukrainiennes, ou encore des énergéticiens en Pologne. Cette vulnérabilité affecte toutes les versions supportées de Windows, ainsi que Windows Server 2008 et 2012. Ironie du sort, Windows XP n’est pas concerné.

Alors que la Chine, puis la NSA, ont largement été pointées du doigt pour leurs activités de cyberespionnage, le cabinet iSight Partners affirme, dans un billet de blog, que la Russie est à l’origine d’une importante activité de cette nature : « nous suivons activement plusieurs équipes d’intrusion aux missions, cibles, et capacités offensives différentes. »

Au moins cinq équipes seraient ainsi actives, dont Tsar, spécialisée dans les logiciels malveillants mobiles. Elle serait à l’origine de « campagnes visant les communautés du renseignement des Etats-Unis et d’Europe », notamment.

La vulnérabilité CVE-2014-4114 serait quant à elle exploitée par l’équipe Sandworm, ainsi baptisée en raison des références à Dune présentes dans « les URLs de commande et de contrôle et dans différents échantillons » de logiciels malveillants. Elle aurait été constituée en 2009. Eset s’était penché, fin septembre, sur ses activités basées sur la famille de logiciels malveillants BlackEnergy.