Annonce du 19. janvier 2015

D’Agent.BTZ à ComRAT, 7 ans d’évolution du programme de cyber-espionnage

Les experts G DATA ont analysé l’évolution du malware utilisé dans plusieurs attaques ciblées.

Les cyberattaques ciblant les institutions gouvernementales, les grandes entreprises ou les organisations internationales ont pris de l’ampleur ces dernières années. G DATA a analysé 7 ans d‘évolution de l‘Agent.BTZ, l’une des armes de ces attaques. Détecté pour la première fois en 2008 dans une attaque ciblant le Pentagone américain, il a également été utilisé en 2014 dans la campagne d’espionnage Uroburos.

En novembre 2014, G DATA mettait à jour la campagne d’attaque Uroburos. Celle-ci avait touché de nombreuses institutions dont notamment les ministères des affaires étrangères belge et finlandais. De cette attaque ont suivi la découverte et l’analyse détaillée d’Agent.BTZ, successeur de ComRAT.
Les experts du G DATA SecurityLabs ont passé au crible Agent.BTZ et ComRAT – au total 46 échantillons différents provenant d’une période de sept ans ont été analysés.   

Des évolutions constantes

Jusqu’à la version 3.00, détectée en 2012, des changements mineurs avaient été réalisés dans le logiciel. Ceux-ci se cantonnent à des adaptations liées aux nouvelles versions de Windows, des erreurs de programmation et de nouvelles méthodes de dissimulation. L’arrivée de la version 3.00 est une rupture et à impliqué un changement d’appellation. De nombreuses améliorations sont intégrées, notamment au niveau du mécanisme d’infection et de la communication avec les serveurs de commandes (C&C). Agent.BTZ devient alors ComRAT.
Les analystes G DATA sont certains que le groupe derrière Uroburos, Agent.BTZ et ComRAT va continuer à être actif dans le domaine du malware et de l’APT (Advanced Persistent Threat). D’autres éléments laissent à penser que d’autres attaques sont à attendre.  

L’analyse détaillée et en français du programme d’espionnage est décrite ici.

L’analyse des versions 3.25 et 3.26 de ComRAT est ici.

Le détournement d’objets COM a été analysé ici.

L’analyse d’Uroburos est ici

L’analyse technique sur les fonctionnalités du malware est ici.

Annonce du 19. janvier 2015

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr