Posté le octobre 18, 2019 à 10:53
UN GROUPE DE HACKERS RUSSES A PASSÉ DES ANNÉES A PIRATER EN SILENCE LES CIBLES DU GOUVERNEMENT
Un nouveau rapport publié par des chercheurs en sécurité de l’ESET indique qu’un groupe de hackers qui était auparavant lié à la Russie a réussi à compromettre de nombreuses cibles du gouvernement russe au cours des trois dernières années. De plus, le groupe a réussi à ne pas se faire repérer en le faisant.
Le groupe, connu sous le nom d’APT29, CozyDuke, les Dukes, ainsi que Cosy Bear, est un groupe de piratage bien connu parrainé par l’État qui travaille pour le gouvernement russe. Les chercheurs en sécurité de partout dans le monde étudient le groupe et ses méthodes depuis longtemps, estimant que son existence remonte à au moins une décennie, probablement même plus.
Ils ont également lié le groupe à un certain nombre d’attaques de piratage très médiatisées, telles que l’attaque de 2016 contre le DNC (Comité national démocratique), qui était l’instance dirigeante officielle du parti démocrate américain. Une autre affaire à laquelle ces hackers auraient des liens serait une tentative d’infiltration des ordinateurs du DNC il y a un an, en novembre 2018.
Cette attaque a utilisé la méthode de spear phishing, ce qui signifie que le groupe a ciblé des individus spécifiques dans l’espoir de les piéger et d’avoir accès à leurs ordinateurs. Cependant, ces attaques sont seulement celles qui sont les plus connues du public, alors que beaucoup d’autres ont également été attribuées au APT29. Par exemple, le groupe a été responsable d’un grand nombre d’incidents de piratage informatique avant les élections présidentielles américaines de 2016, ce qui l’a rendu d’autant plus curieux quand ils ont soudainement disparu au début de 2017.
Ou l’ont-ils fait?
Le groupe à la retraite était secrètement actif depuis tout ce temps
Selon le récent rapport d’ESET, le groupe ne s’est pas dissous et n’a pas cessé ses activités. Ils ont simplement poursuivi leurs activités tout en faisant tout ce qui était en leur pouvoir pour ne pas attirer l’attention. Ils semblent également avoir poursuivi une opération lancée il y a environ six ans, qui leur a permis de pirater le ministère des Affaires étrangères dans plusieurs pays européens.
Les chercheurs d’ESET ont décrit la campagne de piratage comme très sophistiquée et l’ont baptisée «Opération Ghost». L’opération a débuté en 2013, comme indiqué, mais les hackers ont réussi à rester sous le radar pendant toute cette période, et cela jusqu’à présent. Les pirates ont utilisé un certain nombre d’anciennes et de nouvelles familles de logiciels malveillants, telles que PolyglotDuke, FatDuke, MiniDuke, LiteDuke, RegDuke, ect.
Le rapport indique également que les logiciels malveillants utilisés pour la première étape ont utilisé un certain nombre de services en ligne – dont Reddit, Twitter et Imgur – qui ont servi de canaux C&C, alors que la communication elle-même était cachée par la sténographie. Les chercheurs ont également signalé les victimes des hackers, déclarant qu’il y en a au moins trois, dont tous les ministères européens des Affaires étrangères, ainsi que l’ambassade de l’UE à Washington DC. Les chercheurs croient également que la dernière activité des hackers a eu lieu en juin de cette année.
Toutes les cibles que les chercheurs ont pu identifier correspondent au profil d’APT29, ainsi que les outils utilisés par les attaquants et les tactiques employées, telles que l’utilisation de sites Web pour l’hébergement de C&C, l’utilisation de la sténographie, etc. Bien sûr, il est possible que quelqu’un copie APT29 dans le but de cacher sa propre identité, mais les chercheurs pensent que ce n’est pas le cas. Non seulement les attaques ont commencé à l’époque où le groupe était très actif, mais ils n’ont utilisé que les outils et les tactiques qui ont fait la réputation du groupe – avant qu’il ne se fasse connaître pour les utiliser.
L’enquête sur la campagne a également révélé un certain nombre de nouveaux détails sur le mode de fonctionnement du groupe, comme le fait qu’il utilise une infrastructure réseau C&C différente dans chaque attaque, ainsi que l’existence de LiteDuke, une porte dérobée de troisième étape qui était auparavant inconnue. Enfin, les chercheurs ont également découvert que deux des victimes du groupe avaient été victimes d’une violation de leurs systèmes par le même acteur de la menace en 2015. Cela indique que les hackers peuvent avoir eu accès à leurs systèmes au cours des quatre dernières années.
Comment se déroulent les attaques?
Selon le rapport, l’attaque commencerait par l’utilisation de PolyglotDuke, qui infecte les ordinateurs et agit comme un téléchargeur qui infecte davantage le système avec la porte dérobée MiniDuke. Si les hackers commencent à perdre le contrôle de leurs autres outils sur l’appareil infecté, ils déploient RegDuke, un implant de première étape. Elle peut rester non détectée pendant de longues périodes et garantir que les hackers puissent conserver l’accès au système infecté et le contrôler.
RegDuke a également un téléchargeur, ainsi qu’une charge utile, qui réside uniquement dans la mémoire. En utilisant RegDuke, les hackers peuvent importer différents types de fichiers, tels que des DLL, des scripts PowerShell, des exécutables Windows, etc.
Pendant ce temps, MiniDuke fait office de porte dérobée de deuxième étape et est écrit en assemblage x86, avec 38 fonctions différentes au total. Cela comprend le téléchargement et le chargement de divers fichiers, la récupération d’informations système, la création de processus, l’obtention de la liste des lecteurs locaux, l’identification du type de lecteur, la lecture et l’écriture dans le fichier nommé, et plus encore.
Enfin, il y a FatDuke, la principale porte dérobée du groupe, ainsi qu’un programme malveillant de troisième étape. FatDuke est surtout utilisé sur les appareils et les systèmes qui sont les plus importants pour les pirates, et il est généralement installé par MiniDuke. Cependant, il peut aussi être fourni par d’autres outils, comme PsExec. Les hackers sont également réputés pour le remballer régulièrement, ce qui leur permet de rester non détectés.
FatDuke est un outil assez avancé, avec une configuration codée en dur, et il permet aux hackers de le contrôler à distance. LiteDuke, en revanche, est une autre porte dérobée de troisième étape que les hackers utilisaient en 2014 et 2015. En d’autres termes, il se peut qu’il n’ait pas un rôle actif dans Operation Ghost, bien qu’il ait été trouvé sur certains des appareils infectés par MiniDuke. Et, comme il utilise le même compte-gouttes que PolyglotDuke (SQLite), les chercheurs pensent qu’il s’agit d’un autre outil utilisé par le groupe à ce jour.
De tous ces outils, seul le téléchargeur finit par être écrit sur le disque. Pendant ce temps, le code de la porte dérobée existe uniquement dans la mémoire. Au total, sept fonctions sont exportées par la porte dérobée DLL, notamment LoadFromCC, GetDBHandle, GetCCFieldLn, SendBin, Save ToCC, GetCCFieldSize et DllEntryPoint. Quant au programme malveillant lui-même, il prend en charge environ 41 commandes, notamment la possibilité de télécharger et de télécharger des fichiers, mais également de les supprimer, de mettre à jour la base de données, d’obtenir des informations système, de créer des processus, etc.
