Actualités, opinions et astuces de la communauté de sécurité d’ESET
Les chercheurs d’ESET ont analysé des outils
d’accès à distance utilisés par les cybercriminels pour une campagne
d’espionnage en cours, visant à espionner systématiquement les institutions
gouvernementales ukrainiennes et exfiltrer les données de leurs systèmes.
Dans cet article, nous résumerons l’intégralité
des résultats publiés dans notre livre blanc Quasar, Sobaken and Vermin : A deeper look into an
ongoing espionage campaign (Quasar, Sobaken and Vermin : Analyse
en profondeur d’une campagne d’espionnage en cours).
Les attaquants derrière la campagne sont suivis
par ESET depuis le milieu de l’année 2017. Leurs activités ont été révélées publiquement pour la première fois en janvier
2018. Notre analyse montre que ces cybercriminels continuent d’améliorer leurs
campagnes, en développant de nouvelles versions de leurs outils d’espionnage.
Selon la télémétrie de l’ESET, les attaques ont
été dirigées contre des institutions gouvernementales ukrainiennes, avec
quelques centaines de victimes dans différentes organisations. Les attaquants
utilisent des outils d’accès à distance furtifs (ou RAT, pour remote access
tool) pour exfiltrer les documents sensibles des ordinateurs des victimes.
Nous avons détecté trois souches différentes de
logiciels malveillants.NET dans ces campagnes : Quasar RAT, Sobaken RAT, ainsi
qu’un RAT sur mesure appelé Vermin. Les trois souches de logiciels malveillants
ont été utilisées activement contre différentes cibles au même moment. Elles
partagent de plus des parties de leur infrastructure et se connectent aux mêmes
serveurs C&C.
Quasar est un RAT open-source, disponible
gratuitement sur GitHub. Nous avons pu retracer les campagnes de ces menaçant à
l’aide des binaires Quasar RAT remontant jusqu’en octobre 2015.
Sobaken est une version fortement modifiée du
Quasar RAT. Certaines fonctionnalités ont été supprimées pour rendre
l’exécutable plus petit. Plusieurs mesures anti-sandbox, et d’autres astuces
d’évitement et d’évasion ont été ajoutées.
Vermin constitue une backdoor, ou porte dérobée,
sur mesure. Il est apparu pour la première fois au milieu de l’année 2016 et
est toujours utilisé au moment de la rédaction du présent rapport. Tout comme
Quasar et Sobaken, il est rédigé en .NET. Pour ralentir l’analyse, le code du
programme est protégé à l’aide d’un système commercial de protection de code
.NET, d’un réacteur .NET ou d’un protecteur open-source ConfuserEx.
Vermin est une backdoor complète comprenant
plusieurs composants optionnels. Sa dernière version connue prend en charge 24
commandes, implémentées dans la charge utile principale, et plusieurs commandes
supplémentaires implémentées via des composants optionnels, y compris
l’enregistrement audio, l’enregistrement de frappe et le vol de mot de passe.
Les campagnes analysées sont basées sur
l’ingénierie sociale de base, mais aussi sur l’utilisation de plusieurs astuces
pour mieux amener les victimes à télécharger et exécuter le logiciel
malveillant, qui était inséré comme pièces jointes à des courriels. Parmi ces
astuces, mentionnons l’utilisation de la fonction de forçage
de droite à gauche (ou RLO, pour right-to-left override), visant à
masquer l’extension réelle des pièces jointes, les pièces jointes aux courriels
déguisées en archives auto-extractibles RAR, et une combinaison d’un document
Word spécialement conçu à cet effet comprenant l’exploit CVE-2017-0199.
Les trois souches de logiciels malveillants sont
installées de la même manière : un dropper dépose un fichier de charge utile
malveillant (Vermin, Quasar ou Sobaken) dans le dossier %APPDATA%, dans un
sous-dossier au nom d’une société légitime (généralement Adobe, Intel ou
Microsoft). Ensuite, il crée une tâche planifiée qui exécute la charge utile
toutes les 10 minutes, pour assurer sa persistance.
Pour s’assurer que le logiciel malveillant ne
fonctionne que sur des machines ciblées et évite les systèmes d’analyse automatisés
et les sandboxes, les attaquants ont déployé plusieurs mesures. Le logiciel
malveillant s’interrompt si aucun clavier russe ou ukrainien n’est installé, si
l’adresse IP du système cible est située en dehors de ces deux pays, ou si elle
est enregistrée auprès de l’un des fournisseurs d’anti logiciels malveillants
ou des fournisseurs de nuages sélectionnés. Le logiciel malveillant refuse
également de s’exécuter sur des ordinateurs dont le nom d’utilisateur est
typique des systèmes automatisés d’analyse des logiciels malveillants. Pour
déterminer s’il est exécuté dans un système d’analyse automatisé, il tente
d’atteindre un nom/URL de site Web généré au hasard et vérifie si la connexion
à l’URL échoue, comme on pourrait s’y attendre sur un système réel.
Ces attaquants n’ont pas reçu beaucoup de
notoriété par rapport à d’autres qui ciblent des organisations très en vue en
Ukraine. Cependant, ils ont prouvé qu’avec des outils d’ingénierie sociale
astucieux, les attaques de cyberespionnage peuvent réussir même sans utiliser
de logiciels malveillants sophistiqués. Ceci confirme la nécessité de former le
personnel à la sensibilisation à la cybersécurité, en plus de disposer d’une
solution de sécurité de qualité.
Les noms de détection ESET et d’autres
indicateurs de compromis pour les campagnes mentionnées peuvent être trouvés
dans le livre blanc complet : Quasar,
Sobaken et Vermin : un regard plus approfondi sur une campagne d’espionnage en
cours.