Posté le mai 15, 2020 à 15:57
UN GROUPE DE HACKERS RUSSES CONTRÔLE DES IMPLANTS DE LOGICIEL MALVEILLANT EN UTILISANT DES CODES D’ÉTAT HTTP
Les chercheurs en sécurité de Kaspersky ont découvert une nouvelle version du logiciel malveillant COMpfun qui utilise des codes d’état HTTP pour contrôler les hôtes infectés.
Le logiciel malveillant a été découvert en novembre de l’année dernière et a été vu en train d’attaquer des entités diplomatiques dans toute l’Europe.
Les chercheurs ont également découvert le groupe responsable de l’attaque. Le groupe de hackers, connu sous le nom de Turla, est un groupe russe financé par l’État qui est impliqué dans des opérations de cyber-espionnage depuis de nombreuses années.
Le groupe de hackers utilise des méthodes non conventionnelles pour attaquer les victimes
Turla a toujours utilisé des méthodes innovantes et non conventionnelles pour créer des logiciels malveillants et réaliser des attaques furtives. C’est la raison pour laquelle il a longtemps échappé à la vue des chercheurs en sécurité.
Le groupe a été vu en train de voler et d’utiliser des satellites de télécommunications pour envoyer des logiciels malveillants dans des régions reculées du monde. Actuellement, il a créé un logiciel malveillant qui peut cacher son mécanisme de contrôle à l’intérieur des commentaires publiés sur les photos Instagram de Britney Spears.
Le groupe a également modifié les extensions de Firefox et de Chrome, piraté d’autres groupes de hackers financés par l’État, développé des serveurs de messagerie électronique en cachette et utilisé des messages à l’aspect spam pour recevoir des commandes.
L’équipe de sécurité de Kaspersky a également déclaré que Turla utilise une autre méthode pour infecter les systèmes. Le logiciel malveillant prend les commandes des serveurs de commande et de contrôle par le biais du code d’état HTTP.
Le groupe a publié une nouvelle version de logiciel malveillant
Le groupe a publié une autre version de logiciel malveillant connue sous le nom de COMpfun, qui est un cheval de Troie d’accès à distance. Il est utilisé pour infecter les victimes, enregistrer des frappes de touches, collecter des données système et prendre des captures d’écran du bureau de l’utilisateur. Les données collectées sont envoyées au serveur de C & C distant.
La première version de ce logiciel malveillant COMpfun a été repérée en 2014, les informations sur ses activités étant fournis par Kaspersky.
Cependant, la nouvelle version est très différente de la version originale classique. Outre la fonction de collecte de type RAT, l’entreprise de sécurité a déclaré que la nouvelle version de COMpfun comporte également de nouvelles fonctionnalités supplémentaires.
L’un des nouveaux ajouts est la possibilité d’observer quand des dispositifs amovibles USB sont branchés sur un hôte infecté. Le groupe de hackers Turla utilise cette nouvelle fonctionnalité comme un instrument d’auto-diffusion pour infecter d’autres réseaux sur des réseaux internes ou sur des réseaux piratés.
L’autre ajout est le nouveau code C & C, et les chercheurs de Kaspersky ont déclaré que le second code n’utilise pas un schéma classique où les instructions sont directement délivrées à l’hôte infecté.
Les chercheurs analysent généralement le trafic HTTPS/HTTP à la recherche de modèles ressemblant à des commandes de logiciels malveillants. Lorsque les chercheurs utilisent des mesures de type CLI dans le trafic ou les en-têtes, cela indique toujours qu’une activité malveillante est en cours.
Les hackers mettent généralement une procédure en place pour éviter une telle détection. Dans le cas du groupe Turla, ils ont mis en place un nouveau mécanisme de C & C serveur-client qui dépend du code d’état HTTP.
Ces codes d’état sont des réponses standardisées qu’un serveur envoie à un système de connexion. Le code fournit des détails sur le serveur et est utilisé pour informer le navigateur du client de la prochaine action à entreprendre. Ces actions peuvent consister à rafraîchir la connexion, à fournir des informations d’identification ou à interrompre la connexion.
Kaspersky a révélé que Turla utilisait le protocole de base serveur-client qui fonctionne depuis plusieurs années pour le protocole C & C du logiciel malveillant COMpfun. Maintenant, le COMpfun C & C joue le rôle d’un serveur, tandis que les implants COMPfun activés dans l’hôte infecté jouent le rôle du client.
Le groupe COMPfun est considéré comme un groupe de hackers sophistiqué financé par l’État
Selon Kaspersky, chaque fois qu’un implant COMPfun communique avec le serveur C & C, et que le serveur répond avec un code d’état 402, les codes d’état suivants deviendront des commandes futures.
Par exemple, si le serveur COMPfun a suivi une réponse 402 avec un code d’état 200, l’implant télécharge normalement les données d’entrée qu’il a reçues du système hôte vers le serveur C & C de Turla.
Le chercheur en sécurité de Kaspersky a souligné qu’il a inversé l’ingénierie des codes de commandes d’état HTTP ultérieurs et de leur lien avec COMPfun.
Mais cette récente activité sophistiquée de COMPfun montre une fois de plus pourquoi Turla est considéré comme l’un des groupes de cyber-espionnage les plus sophistiqués aujourd’hui.
Le gros investissement du groupe dans la furtivité a montré qu’il est prêt à aller plus loin, même au-delà de ce que de nombreux groupes de hackers financés par l’État russe ont réalisé.
