Membres d’ONG, ingénieurs, universitaires, scientifiques et employés gouvernementaux. Voici quelques-unes des cibles du tout nouveau botnet nommé Jaku. Celui-ci mène des attaques par déni de service distribuées (DDoS) et de hameçonnage (phishing) pour tenter de dérober des informations sensibles, en visant des profils bien particuliers de diverses nationalités.
C’est un rapport de Forcepoint Security Labs qui a tiré la sonnette d’alarme. L’enquête, débutée en octobre 2015, estime à 19 000 le nombre de victimes uniques. D’après elle, Jaku est « différent et plus complexe » que la majorité des autres botnets connus des services.
Les chercheurs de Forcepoint ont nommé cette campagne de malware en s’inspirant de la planète Jakku figurant dans l’univers Star Wars car ils y ont relevé plusieurs références inattendues à propos de la saga de science-fiction, comme le nom du droïde R2D2. À noter que pour des raisons de droits d’auteur, les chercheurs ont choisi d’écorcher l’orthographe de la planète en lui retirant un k.
Jaku est un malware qui peut s’infiltrer dans un système via le téléchargement d’un fichier torrent infecté ou d’une fausse image PNG. Une fois installé, Jaku est capable d’infecter d’autres machines connectées et les intégrer à son réseau.
Cependant, pour cibler avec précision ses victimes, le botnet utilise une technique bien plus poussée. Selon Andy Settle, chef des investigations spéciales pour Forcepoint, « la précision de Jaku implique l’utilisation d’outils plus efficaces qu’un fichier torrent. Nous pensons évidemment au mail, mais d’autres méthodes sont également envisageables ».
Il estime ainsi qu’il est possible que certains systèmes aient subi un « Evil Made » — c’est-à-dire que l’auteur du logiciel malveillant a eu accès physiquement à l’ordinateur — ou une attaque de point d’eau.
La Corée du Nord derrière Jaku ?
Toujours selon le rapport, les auteurs du botnet pourraient être Nord-Coréens. « Plusieurs éléments laissent penser que le coréen est la langue maternelle des auteurs du logiciel malveillant» peut-on y lire, même s’il n’est pas exclu que les auteurs de Jaku mènent aussi une opération sous faux pavillon pour faire croire à une mission initiée par Pyongyang alors qu’ils sont pilotés par un autre État.
En tout cas, 42 % des personnes visées se situent en Corée du Sud et 31 % au Japon. Deux pays très impopulaires à Pyongyang. La Chine (9%) et les États-Unis (6%), deux pays qui ont d’une façon ou d’une autre aussi à faire avec le régime de Kim Jong-Un, arrivent en troisième et quatrième position des pays les plus touchés.
Vaincre Jaku est actuellement impossible sans la collaboration des organisations privées et des agences gouvernementales, estime Forcepoint. L’entreprise de cyber-sécurité a d’ailleurs annoncé avoir lancé une enquête conjointe avec la NSA, le CERT-UK, Europol et Interpol.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !