Se servir du botnet Mevade en tant que mécanisme de répartition, telle aurait été la stratégie des cyber-criminels à la tête de la campagne lancée le 23 juillet dernier et ciblant avec succès un nombre important d'organisations dans de nombreux secteurs tels que les services aux entreprises, l'industrie, les gouvernements, les transports , la santé, et enfin les communications, a indiqué Websense. Si le plus grand nombre d'infections a été enregistré aux États-Unis, les attaques menées en Europe et en Amérique du Sud sont moindres. L'absence de contaminations en Russie ne serait quant à elle probablement pas due au simple fait du hasard. En effet «l'utilisation massive d'infrastructures d'attaque située en Ukraine et en Russie et les liens malveillants de Mevade nous amènent directement à un gang cybercriminel potentiellement bien financé opérant à partir de Kharkov, en Ukraine, et de Russie», précise la note de recherche de Websense .

Mevade responsable de la surcharge de Tor 

L'utilisation de Mevade est donc révélatrice. Ce botnet a déjà été identifié par plusieurs entreprises de cyber-sécurité comme étant à l'origine du pic de trafic qui a paralysé le système Tor à partir du 19 août. Un certain nombre de théories ont d'ailleurs été avancées pour expliquer cette migration de Mevade vers Tor. Pour certains, il pourrait s'agir d'une tentative expérimentale maladroite visant à dissimuler le commandement d'une partie du botnet. Cela amène Websense à penser que la partie visible de Mevade sur Tor ne serait que la face émergée de l'iceberg. Mevade servirait ainsi aux cryber-criminels pour de la fraude au clic et du détournement de recherche, mais pas seulement. Websense a également remarqué que la campagne reposait sur l'outil «3proxy». Un proxy inverse qui pourrait être utilisé comme un tunnel par les assaillants pour accéder directement - à travers la couche NAT - au réseau de la cible. « Ce n'est pas quelque chose avec lequel les cyber-criminels habituels s'embêtent ». « L'utilisation de proxys inverses indique que le groupe prévoit de scanner manuellement certains réseaux et de se déplacer latéralement vers les applications les plus critiques à la recherche d'informations (bases de données, systèmes critiques, code source et référentiels de documents) qui pourraient se trouver sur la machine compromise », affirme Websense .

Aucune comparaison possible avec Stuxnet

Ce type de pratique amène Websense à penser qu'il s'agit certainement de plus que de la simple fraude au clic et détournement de recherche. «L'utilisation de concert de Mevade et Tor sous-entend qu'il s'agit là de bien plus qu'une campagne de cybercriminalité standard et ressemble à un réseau développé pour procéder à de l'espionnage à la demande», précise Websense. Quelle que soit la véritable nature de cette campagne, celle-ci fait néanmoins pâle figure face aux lourdes attaques menées par les États-Unis et Israël avec Stuxnet, Duqu ou encore Flame. Cette attaque ressemble en effet plus à un groupe professionnel de cyber-criminels dérobant des documents pour les vendre au plus offrant.