Posté le octobre 31, 2020 à 13:11
LES ACTEURS MALVEILLANTS DONOT EXPLOITENT LA MESSAGERIE EN NUAGE DE GOOGLE FIREBASE
Un rapport récent révèle que le serveur de messagerie en nuage Firebase de Google est utilisé abusivement par le groupe de hackers APT DoNot comme mécanisme de commande et de contrôle.
Le logiciel malveillant est appelé « Firestarter » et est utilisé avec le service FCM, ciblant le service Firebase, qui s’avère être l’une des filiales de Google. Il a déjà été signalé que ce service avait été la cible de cybercriminels par le passé.
Cependant, la méthode d’attaque pour celui-ci est différente, selon le rapport. Le chargeur l’utilise comme un système de communication pour se relier aux serveurs de commande et de contrôle des acteurs malveillants DoNot, ce qui évite la détection et facilite les activités des acteurs malveillants.
Les acteurs malveillants sont déterminés à ne pas être détectés
Les chercheurs de Cisco ont fourni quelques détails sur l’attaque et sur la manière dont les acteurs malveillants ont opéré.
« Nos recherches ont révélé que DoNot a expérimenté de nouvelles techniques pour garder un pied sur les machines de ses victimes », ont déclaré les chercheurs de Cisco.
Ils ont également révélé que l’expérience menée dans le chargeur Firestarter est une preuve de la détermination des acteurs malveillants à poursuivre leurs opérations malgré leur exposition. Leur détermination fait d’eux un groupe d’acteurs malveillants très dangereux opérant dans le domaine du cyber espionnage, ont répété les chercheurs.
L’équipe DoNot se concentre sur le Pakistan et l’Inde
Les chercheurs ont déclaré que l’équipe DoNot a toujours donné la priorité au Pakistan et à l’Inde comme zones opérationnelles. Le groupe est connu pour ses cibles sur les organisations à but non lucratif du Cachemire ainsi que sur les fonctionnaires du gouvernement pakistanais.
Les utilisateurs sont trompés pour installer une application malveillante sur leurs appareils mobiles en envoyant des messages directs par le biais de l’ingénierie sociale. Selon les chercheurs, le courrier malveillant porte le nom de fichier Kashmir_Voice_v4.8.apk ou kashmir_sample, auquel on a accordé beaucoup d’importance au Pakistan, en Inde et dans la crise du Cachemire.
L’application est envoyée aux utilisateurs pour les tromper : elle offre une plate-forme de discussion, alors qu’en réalité, elle est associée à un logiciel malveillant qui peut s’infiltrer dans l’appareil de l’utilisateur lorsqu’il est ouvert.
Une fois que l’utilisateur a téléchargé et installé l’application, il reçoit un message lui indiquant que le chat se charge et que l’application ne prend pas en charge l’appareil, et que l’application est en train de se désinstaller de l’appareil.
Le but du message est de faire croire à l’utilisateur que l’application est propre et qu’elle ne contient aucun élément malveillant. Après l’affichage du message d’installation, l’icône de l’application disparaît de l’interface utilisateur, bien qu’elle soit toujours présente dans la liste des applications dans les paramètres de l’appareil. Pendant son exécution en arrière-plan, l’application malveillante tente de télécharger une charge utile en utilisant FCM.
L’implémentation de FCM comporte deux composants principaux qui envoient et reçoivent des messages. Ces composants comprennent une application client web, Android ou iOS qui reçoit des messages, et un serveur d’application qui crée et envoie des messages via le service de transport spécifique à la plate-forme.
Ici, l’application envoie un jeton Google FCM au serveur C2 avec diverses informations sur l’appareil, y compris l’IMEI, l’adresse IP, l’adresse électronique, ainsi que l’emplacement géographique.
Elle laisse ensuite la décision aux opérateurs de tromper en envoyant la charge utile à la victime. Les chercheurs ont déclaré qu’il garantit que seuls certains dispositifs spécifiés reçoivent la charge utile malveillante.
Les acteurs malveillants cachent leur trafic sous le trafic légitime
Le C2 délivre ensuite le message FCM de Google qui contient l’URL du logiciel malveillant pour télécharger la charge utile. Après avoir reçu le message, le logiciel malveillant vérifie s’il contient une clé appelée « link », et une fois qu’il a trouvé le fichier, il vérifie s’il commence par https. Ensuite, il utilise le lien pour télécharger la charge utile par l’intermédiaire d’un serveur d’hébergement.
Les chercheurs ont constaté que le canal de communication de Google FCM est crypté, ce qui lui permet de rester sous le radar.
Mais ce qui fait que le groupe malveillant DoNot reste longtemps sous le radar est le fait que l’équipe cache une partie de son trafic parmi le trafic légitime, comme les chercheurs l’ont observé.
Cependant, la charge utile finale ne se confond pas avec l’application Android, ce qui complique encore plus la tâche des analystes et des équipes de sécurité, et rend encore plus difficile la détection des logiciels malveillants, ont rappelé les chercheurs en sécurité.