Posté le octobre 8, 2021 à 19:48
LES FONCTIONS DE COMMANDE DE DROPBOX UTILISÉES PAR DES HACKERS IRANIENS POUR COMPROMETTRE DES SYSTÈMES INDUSTRIELS
Divers rapports ont révélé une attaque massive de cyberespionnage qui vise des entreprises du secteur de l’aérospatiale et des télécommunications. Le rapport montre que les entreprises les plus touchées sont basées au Moyen-Orient, l’objectif de ces attaquants étant de voler des données sensibles sur divers actifs. Les hackers volent également des informations relatives aux infrastructures et aux technologies.
Cette campagne de cyberespionnage a réussi à passer inaperçue parce qu’elle vole les renseignements nécessaires tout en échappant aux cadres de sécurité mis en place. Cela lui a permis d’accéder à un large éventail de réseaux.
Un mode opératoire furtif
Cybereason, une société de cybersécurité basée à Boston, a qualifié ces attaques d' »Opération Ghostshell ». La société a déclaré que le nouveau logiciel utilisé dans cette campagne provient d’un autre cheval de Troie d’accès à distance (RAT) appelé ShellClient qui n’a pas été documenté et qui est connu pour son mode d’attaque furtif. Ce RAT est généralement déployé comme principal outil d’espionnage de choix par les acteurs malveillants.
Le premier signe de ces attaques contre les entreprises de l’aérospatiale et des télécommunications a été détecté en juillet dernier après que plusieurs victimes se soient manifestées pour mettre en évidence une attaque très ciblée. Les chercheurs de cette attaque ont déclaré que « le RAT ShellClient est en développement continu depuis au moins 2018, avec plusieurs itérations qui ont introduit de nouvelles fonctionnalités, tout en échappant aux outils antivirus et en parvenant à rester non détecté et publiquement inconnu. »
La recherche a déclaré que cette attaque de cyber-espionnage remonte à environ le 6 novembre 2018. Elle a déclaré qu’avant de passer à son mode de fonctionnement actuel, l’outil était utilisé pour fonctionner comme un reverse shell autonome avant de se transformer en une porte dérobée sophistiquée utilisée par ces attaquants. La recherche a également déclaré que cet outil faisait l’objet d’un développement régulier où des caractéristiques et des fonctionnalités supplémentaires étaient régulièrement intégrées par ses créateurs.
En outre, les développeurs de cet outil ont également ajouté un exécutable supplémentaire « Isa.exe » utilisé pour effectuer le vidage des informations d’identification. Cette deuxième fonctionnalité reste inconnue.
En ce qui concerne l’origine de cette attaque, elle a été attribuée à MalKamak, un hacker iranien. Cet hacker opère depuis à peu près l’époque où cet outil a été développé, et depuis le temps qu’il est en activité, il a échappé à la découverte et à l’analyse de ses opérations.
En outre, il a également été lié à des groupes parrainés par le gouvernement iranien. Il a été lié à des groupes de hackers tels que Chafer APT et Agrius APT. Dans le cas d’Agrius APT, le hacker est connu pour mener des opérations de ransomware visant à dissimuler l’origine de ces attaques, qui ont effacé un large éventail de données appartenant à des institutions israéliennes.
Les hackers infiltrent Dropbox
L’outil ShellClient n’est pas seulement utilisé pour effectuer des reconnaissances et exfiltrer des données sensibles. Il est également développé pour créer un exécutable modulaire portable qui peut effectuer d’autres opérations telles que l’empreinte digitale et le registre.
Une autre fonction de ce RAT est qu’il peut également exécuter des commandes sur des services de stockage en nuage. Dans ce cas, il a été découvert qu’il abuse des communications de commande et de contrôle (C2) de Dropbox. Cela permet au RAT de ne pas être détecté en imitant d’autres trafics réseau authentiques provenant des systèmes affectés lors du piratage.
Le stockage Dropbox qui est utilisé pour exécuter ces attaques est composé de trois dossiers. Chacun de ces dossiers contient des informations sur les machines infectées, les commandes que le RAT ShellClient est censé exécuter et ce qui se passe après l’exécution de ces commandes.
Les chercheurs ont également noté que la machine de la victime vérifie régulièrement le dossier des commandes, c’est-à-dire toutes les deux secondes, et récupère les fichiers constitués de commandes, analyse leur contenu, qui est ensuite supprimé du dossier distant. Ensuite, ces commandes sont activées pour être exécutées et l’appareil de la victime est compromis.
Le mode de fonctionnement utilisé par ce RAT est similaire à celui d’un autre hacker connu sous le nom d’IndigoZebra. Les tactiques utilisées par ce hacker ont été découvertes comme dépendant de l’API Dropbox pour stocker les commandes pertinentes. Ces commandes sont stockées dans un sous-dossier spécifique à une victime. Ces commandes sont ensuite récupérées par les hackers et utilisées pour mener les attaques.
Ces découvertes interviennent également à un moment où les attaques de cyberespionnage sont en hausse. Avant cette découverte, un autre outil, baptisé « ChamelGang », avait également été découvert. Cet outil serait à l’origine d’attaques contre diverses industries de l’aviation, de l’énergie et du carburant. La plupart de ces attaques d’espionnage ont visé des pays comme l’Inde, le Népal, le Japon, Taïwan et les États-Unis. Ces attaques visent à voler des données à partir de réseaux compromis.
