L’évasion des Shadow Brokers du code de la NSA conduit à la découverte d’un nouvel APT
Image stylisée d'un code à barres UPC.
Avec un pourboire qui vient de l’une des plus grandes infractions de l’histoire de la US National Security Agency. Aux États-Unis, des chercheurs ont découvert un nouveau groupe de piratage qui infectait des cibles avec un programme malveillant inconnu jusqu'alors inconnu.
Les indications du groupe APT [Advanced Persistent Threat Abbreviation] sont apparues pour la première fois en avril 2017. C'est à ce moment-là qu'un groupe non identifié appelé Shadow Brokers a publié des exploits et des codes développés par la NSA puis volés à celle-ci. Intitulée "Lost in translation", la société était surtout connue pour la publication de l'exploit Eternal Blue qui allait plus tard nourrir les vers WannaCry et NotPetya qui ont causé des dommages à des dizaines de milliards de dollars dans le monde. Mais le dump incluait autre chose: un script qui vérifiait les ordinateurs infectés contre les logiciels malveillants provenant de divers APT.
Les chercheurs de Kaspersky Lab ont déclaré qu'un des APT décrit dans le script avait commencé à fonctionner au plus tard en 2009, puis avait disparu en 2017, l'année de la publication de Shadow Brokers. Surnommé DarkUniverse, le groupe est probablement lié à ItaDuke, un groupe qui a attaqué activement les Ouïghours et les Tibétains depuis 2013. L'évaluation des liens est basée sur des chevauchements de codes uniques dans les programmes malveillants des deux groupes.
Aller très loin
En approfondissant leurs recherches sur DarkUniverse, les chercheurs ont découvert que le groupe avait tout mis en œuvre pour infecter et surveiller leurs objectifs. Par exemple, des courriels de spearphishing ont été préparés séparément pour chaque objectif afin de s’assurer de capter l’attention des destinataires et de les inciter à ouvrir un document Microsoft joint. En outre, les logiciels malveillants complets se sont développés à partir de rien et ont considérablement évolué au cours des huit années d'existence du groupe. Chaque échantillon de logiciel malveillant a été compilé immédiatement avant son envoi afin d'inclure la dernière version disponible de l'exécutable.
"Les attaquants étaient ingénieux et ont continué à mettre à jour leurs logiciels malveillants pendant tout le cycle de vie de leurs opérations. Les échantillons observés en 2017 sont donc totalement différents des initiales de 2009", ont écrit des chercheurs de Kaspersky dans un communiqué. publication publiée mardi. "La suspension de leurs opérations peut être liée à la publication de la fuite" Lost in translation ", ou les attaquants ont peut-être simplement décidé de passer à une approche plus moderne et de commencer à utiliser des artefacts plus largement disponibles pour leurs opérations. ".
Le logiciel malveillant modulaire DarkUniverse a été en mesure de collecter un large éventail d'informations sur l'utilisateur et le système infecté pendant une période prolongée. Les données collectées comprennent:
- Entrée au clavier
- Conversations par courriel
- Informations d'identification Outlook Express, Outlook, Internet Explorer, Windows Mail et Windows Live Mail, Windows Live Messenger et le cache Internet
- Captures d'écran
- Fichiers de répertoire spécifiques
- Données provenant de serveurs distants et de ressources partagées.
- Une liste des fichiers du serveur distant si les informations d'identification spécifiées sont valides
- Informations du registre Windows
Le malware avait également la possibilité de modifier les paramètres DNS, d'effectuer des attaques de base au centre, de télécharger et d'exécuter des fichiers. Les serveurs de contrôle étaient principalement stockés dans le service de stockage en nuage mydrive.ch. Les opérateurs de DarkUniverse ont créé un nouveau compte, ainsi que des modules de programmes malveillants et des fichiers de configuration supplémentaires, pour chaque objectif.
Les chercheurs connaissent 20 cibles infectées géolocalisées en Syrie, en Iran, en Afghanistan, en Tanzanie, en Éthiopie, au Soudan, en Russie, au Bélarus et aux Émirats arabes unis. Les objectifs étaient des organisations civiles et militaires. Les chercheurs soupçonnent que le nombre d'infections entre 2009 et 2017 était beaucoup plus élevé.
