Des chercheurs du laboratoire R&D d’ESET à
Montréal viennent de publier les résultats de leurs toutes dernières recherches
sur le tristement célèbre groupe Sednip. Depuis plusieurs années le
groupe Advanced Persistent Threat (APT) Sednit (également connu sous les noms
APT28, Fancy Bear, Sofacy ou STRONTIUM) a attaqué des cibles en Europe, en Asie
Centrale et au Moyen Orient. Depuis ce temps, le nombre et la diversité
de leurs outils ont augmenté de façon spectaculaire. Parmi ceux-ci, ESET a
investigué Zebrocy, la porte dérobée de Sednit, dont les capacités ont été
accrues grâce à la possibilité d’exécuter plus de 30 commandements différents
et de compromettre ainsi des ordinateurs tout en récoltant une quantité
impressionnante d’informations sur la ‘cible’.
Zebrocy termine très rapidement sa mission :
lorsque la porte dérobée transmet l’information de base via un nouveau système
compromis, les opérateurs prennent le contrôle de la porte dérobée et
commencent immédiatement à envoyer des ordres. Ainsi, le temps entre
l'exécution du téléchargeur par la victime et les premiers ordres de l'opérateur
ne dure que quelques minutes.
A la
fin août 2018, le groupe Sednit a lancé une campagne d’hamçonnage par courriel
dans laquelle il distribuait des URL raccourcis qui fournissaient des
composants Zebrocy pour la première phase d’attaque. « Pour le groupe, la
distribution directe de son malware était une technique inhabituelle.
Auparavant, le groupe avait utilisés des exploits pour fournir et exécuter la
première partie du malware. Dans cette campagne-ci, le groupe s’est
entièrement appuyé sur l’ingénierie sociale pour convaincre les victimes
d’exécuter la première partie de la chaîne, » explique Alexis Dorais-Joncas, Security
Intelligence Team Lead chez ESET R&D à Montréal.
ESET a
enregistré au moins 20 clics sur le lien malveillant, mais il est impossible
d’estimer le nombre total de victimes. «Sans message courriel, nous ne savons
malheureusement pas si des instructions ont été distribuées aux utilisateurs,
s’il y a encore plus d’ingénierie sociale impliquée ou si cela ne dépend que de
la curiosité de la victime. L’archive compte deux fichiers : le premier
est un exécutable alors que le deuxième est un faux document PDF, »
ajoute Dorais-Joncas.
Les
ordres donnés récoltent d’abord de l’information au sujet de l’ordinateur et de
l’environnement de la victime alors que d’autres commandements sont utilisés
pour extraire les fichiers de l’ordinateur au cas où l’opérateur trouverait des
fichiers intéressant sur la machine.
“Le taux de détection est
nettement inférieur à celui des portes dérobées habituelles. Le laps de temps
très court durant lequel la porte dérobée fonctionne sur le système, rend sa
récupération plus difficile. Lorsque les opérateurs ont effectué leurs actions
malveillantes, ils l’enlèvent rapidement, » dit Dorais-Joncas, en soulignant
la rapidité d’action de cette porte dérobée.
Prenez connaissance du
résultat des recherches à propos de Sednit et de Zebrocy sur
WeLiveSecurity.com.
Il y a quelques mois, ESET annonçait l’existence d’un rootkit UEFI ayant
pour nom LoJax et qui était attribué au groupe Sednit. Il
s’agissait d’une nouveauté pour un groupe APT et cela démontre que Sednit a
accès à des outils très variés pour effectuer ses activités d’espionnage.