Anton Cherepanov
L’analyse par ESET d’une récente backdoor (ou porte dérobée) utilisée
par TeleBots – le groupe à l’origine de l’épidémie massive de rançon de
NotPetya – révèle de fortes similitudes de code avec la backdoor principale
d’Industroyer, révélant une connexion rumeur qui n’avait pas été démontrée
auparavant.
Parmi les incidents de cybersécurité provoqués par des logiciels
malveillants les plus importants de ces dernières années, on peut citer les
attaques contre le réseau électrique ukrainien – qui ont entraîné des pannes de
courant sans précédent deux années de suite – et l’épidémie dévastatrice de
rançon de NotPetya. Voyons les liens qui unissent ces incidents majeurs.
La première panne d’électricité malveillante de l’histoire, qui s’est
produite en décembre 2015, a été rendue
possible par la boîte à outils de logiciels malveillants BlackEnergy. Les
chercheurs d’ESET ont
suivi l’activité du groupe d’APT utilisant BlackEnergy avant et après cet
événement marquant. Après la panne de courant de 2015, le groupe a semblé avoir
cessé d’utiliser activement BlackEnergy et a évolué vers ce que nous appelons
TeleBots.
Il est important de noter que lorsque nous décrivons les groupes APT,
nous dessinons des connexions basées sur des indicateurs techniques tels que
les similarités de code, l’infrastructure C&C partagée, les chaînes
d’exécution de malware, etc. Nous ne participons généralement pas directement à
l’enquête et à l’identification des personnes qui ont écrit le logiciel
malveillant ou l’ont déployé, ni aux relations interpersonnelles entre elles.
De plus, le terme groupe APT est défini de façon très vague et souvent
utilisé simplement pour regrouper les indicateurs de logiciels malveillants
mentionnés ci-dessus. C’est également l’une des raisons pour lesquelles nous nous
abstenons de spéculer sur l’attribution d’attaques aux États-nations et autres.
Cela dit, nous avons observé et documenté les liens entre les attaques
de BlackEnergy – non seulement contre le réseau électrique ukrainien, mais
aussi contre divers secteurs et cibles de grande valeur – et une série de
campagnes (principalement) contre le secteur financier ukrainien par le groupe
TeleBots. En juin 2017, lorsque de nombreuses grandes entreprises du monde
entier ont été touchées par le logiciel de rançon Diskcoder.C (alias Petya et
NotPetya) – très probablement en tant que dommages collatéraux involontaires –
nous avons découvert que l’épidémie a commencé à se propager depuis des
entreprises touchées par une porte
dérobée (ou backdoor) TeleBots,
suite à la compromission du logiciel financier populaire M.E.Doc.
Alors, comment Industroyer, le cadre sophistiqué de logiciels
malveillants utilisé pour provoquer la panne de décembre 2016, s’intègre-t-il
dans tout cela? Immédiatement après que nous avons annoncé publiquement notre
découverte, certaines sociétés de sécurité et certains médias ont commencé
à spéculer qu’Industroyer était également architecturé par le groupe
BlackEnergy/Telebots (aussi connu sous le nom de Sandworm). Pourtant, aucune
preuve concrète n’a été rendue publique jusqu’à présent.
En avril 2018, nous avons découvert une nouvelle activité du groupe
TeleBots : une tentative de déploiement d’une nouvelle porte dérobée, que ESET
détecte comme Win32/Exaramel. Notre analyse suggère que cette backdoor
de TeleBots est une version améliorée de la porte dérobée principale
d’Industroyer – la première preuve qui manquait.
Article complet sur https://www.welivesecurity.com/fr/2018/10/11/backdoor-telebots-industroyer-notpetya/