Une fois de plus, les attaquants exploitent une faille de sécurité critique jusque-là inconnue dans Java pour pénétrer dans les ordinateurs ciblés. Fait intéressant, les logiciels malveillants et les réseaux utilisés dans cette dernière attaque correspondent à ceux trouvés dans la faille récemment divulguée par la société de sécurité. Bit9.
La découverte de Java zero-day est co-créditée à FireEye et CyberESI, deux sociétés spécialisées dans le suivi des attaques de cyberespionnage. Dans sa rédactionFireEye a déclaré que plusieurs clients avaient été attaqués à l’aide d’une faille récemment découverte dans les dernières versions de Java — Java 6 mise à jour 41et Java 7 mise à jour 15.
FireEye a déclaré que l’exploit Java utilisé dans cette attaque a été téléchargé un cheval de Troie d’accès à distance appelé Mc Rat. Cette menace, aussi appelée HiKit et Mdmbot.Fappelle un serveur de contrôle malveillant à l’adresse Internet 110.173.55.187. Il s’avère qu’il s’agit du même malware et du même serveur de contrôle qui ont été utilisés lors de l’attaque contre Bit9 des détails que Bit9 a publié cette semaine dans un article de blog documentant une attaque sophistiquée qui a entraîné une violation de ses propres systèmes l’année dernière.
Alex Lansteinchercheur principal en sécurité chez FireEye, a déclaré qu’il est peu probable dans ce cas que plusieurs groupes d’attaque utilisent la même infrastructure et les mêmes logiciels malveillants.
« Même malware, même [command and control server]je dois dire que c’est le même groupe qui a frappé Bit9 », a déclaré Lanstein.
La découverte du nouveau Java zero-day survient quelques jours seulement après Oracle a publié une mise à jour pour corriger au moins cinq failles de sécurité dans Java, des failles qui ont apparemment été utilisées dans des attaques contre Apple, Facebook, Twitter et au moins 37 autres sociétés. Début février, Oracle a publié une mise à jour qui corrige une cinquantaine d’autres problèmes de sécurité graves dans le programme largement utilisé. Pendant ce temps, une équipe de chercheurs polonais a documenté la présence de deux autres trous critiques non corrigés dans les dernières versions de Java 7.
La plupart des consommateurs peuvent se débrouiller sans Java installé, ou du moins pas branché sur le navigateur. En raison de la prévalence des menaces ciblant les installations Java, j’exhorte ces utilisateurs à supprimer Java ou débranchez-le du navigateur. Si cela vous pose trop de problèmes, envisagez d’adopter une approche à double navigateur, en gardant Java débranché de votre navigateur principal et branché sur un navigateur secondaire que vous n’utilisez que pour visiter les sites nécessitant le plug-in.