Une vulnérabilité Zero Day résolue dans les dernières mises à jour de Windows a servi à des attaques d’espionnage par le groupe APT « Buhtrap » révèle Eset.
Alors que Microsoft publiait il y a quelques jours son Patch Tuesday de juillet, Eset indiquait en parallèle être à l’origine de la découverte d’une des deux vulnérabilités Zero Day grâce à l’analyse d’une attaque très ciblée en Europe de l’Est. Depuis, l’éditeur a été en mesure d’identifier le groupe à l’origine de cette attaque. Selon ce dernier, il s’agit du groupe APT « Buhtrap », « spécialisé dans les opérations d’espionnage en Europe de l’est et en Asie centrale. »
Des institutions gouvernementales ciblées
Alors que le groupe Buhtrap est connu pour son ciblage d’institutions financières et d’entreprises russes, l’éditeur précise que depuis la fin 2015, les outils du groupe à vocation lucrative ont été enrichis de logiciels malveillants dédiés à l’espionnage. « Il est toujours difficile d’attribuer une campagne à un acteur particulier lorsque le code source de ses outils est librement disponible sur le web. Cependant, comme le changement de cible s’est produit avant la fuite du code source, nous avons évalué avec une grande confiance que les personnes à l’origine des premières attaques contre les entreprises et les banques à l’aide du logiciel malveillant Buhtrap sont également impliquées dans le ciblage des institutions gouvernementales à des fins d’espionnage », explique Jean-Ian Boutin, chercheur en cybersécurité chez Eset. « Il n’est pas clair si un ou plusieurs membres de ce groupe ont décidé de changer d’orientation et pour quelles raisons, mais c’est certainement quelque chose que nous sommes susceptibles d’observer plus régulièrement à l’avenir », ajoute-t-il.
