Destruction dans le sillage des plug-ins du malware BlackEnergy

BlackEnergy, un outil pour cybercriminels pour le moins souple, fonctionne avec un grand nombre de plug-ins pour Linux et Windows, ce qui permet de l’utiliser dans des attaques contre des périphériques réseau Cisco, pour voler des certificats numériques, mettre les périphériques hors d’état et se mettre à l’abri des analystes et spécialistes en sécurité.

BlackEnergy a été utilisé dans plusieurs attaques ciblées de style APT contre des secteurs critiques, dont des gouvernements et l’industrie. La semaine dernière, l’Industrial Control Systems Cyber Emergency Response Team (ICS-CERT, groupe d’intervention rapide face aux incidents informatiques visant des systèmes de commande industriels) a publié un communiqué faisant état de vulnérabilités critiques dans des systèmes de commande industriels et des équipements SCADA qui étaient activement exploitées par des malwares, dont Sandworm.

Une des organisations décrite, sans être nommée, par les experts Maria Garnaeva et Kurt Baumgartner de chez Kaspersky Lab, a été attaquée à l’aide de messages de phishing ciblé contenant un code d’exploitation pour une vulnérabilité non corrigée dans WinRAR. Des plug-ins permettant de voler les données de comptes utilisateur, de se propager par le réseau et de réaliser des captures d’écran ont été découverts sur les ordinateurs infectés. Comme l’ont expliqué Maria Garnaeva et Kurt Baumgartner, dès que les individus malintentionnés remarquaient que leur présence avait été détectée, le plug-in "dstr" était chargé sur l’ordinateur et empêchait le chargement du système d’exploitation.

Trois semaines plus tard, iSIGHT Partners associait BlackEnergy à une campagne d’espionnage russe qui utilisait ce malware dans le but d’exploiter des vulnérabilités Windows de type 0jour afin de voler des données d’organisations publiques, de sociétés actives dans les secteurs de la défense et de l’énergie, de l’OTAN et de fournisseurs de service de télécommunication.

La découverte des plug-ins a exposé les vastes possibilités que pouvaient exploiter les individus malintentionnés. D’après les deux chercheurs, le plug-in le plus étonnant s’appelle weap_hwi. Il s’agit d’un outil d’attaque DDoS contre les systèmes ARM/MIPS. L’étude poussée de l’ensemble de plug-ins Linux a mis en évidence un processus de développement organisé, avec des mises à jour régulières des fichiers de configuration du malware, produites par la petite équipe de développeurs de plug-ins qui maîtrisent plusieurs plateformes.

La liste des plug-ins pour Windows est plus variée que celle pour Linux et contient, outre les plug-ins traditionnels de recherche de fichiers d’un certain type, des plug-ins pour le vol de mots de passe et de certificats, et la commande dstr retranscrit un ensemble aléatoire de données et élimine le contenu du disque dur. De plus, les deux chercheurs ont découvert un canal de communication de secours qui fonctionne entre les comptes Google Plus.

Ils ont en effet identifié dans un fichier de configuration l’identifiant de deux comptes utilisateur Google Plus, dont un avait été consulté 75 millions de fois.

"Ce numéro est un identifiant pour le service plus.google.com et il est utilisé par le plug-in grc dans le cadre de l’analyse html. Ensuite, il télécharge et déchiffre un fichier PNG. Ce fichier PNG contient la nouvelle adresse du serveur de commande, bien que nous n’avons jamais rien vu de la sorte." peut-on lire dans le rapport.

Nos chercheurs ont également évoqué une deuxième victime, sans la nommer, qui a été attaquée grâce à des données d’utilisateur VPN de la première victime. Dans ce cas-ci, les conséquences de l’attaque ont été plus importantes. Plus routeurs Cisco, tous dotés de différentes versions du système d’exploitation Cisco IOS, ont été compromis et l’organisation a signalé qu’elle avait perdu la possibilité de se connecter à ceux-ci via telnet. Les chercheurs ont trouvé un script malveillant dans les systèmes de fichiers des routeurs. Ce script contient des insultes adressées aux analystes de Kaspersky Lab.

Deux autres victimes ont été identifiées. L’une d’entre elles a été victime d’une simple attaque de phishing ciblée, mais aucun périphérique réseau n’a été compromis et aucune données n’a été détruite. La quatrième victime de BlackEnergy a été attaquée via une vulnérabilité dans du matériel SCADA de Siemens à un moment donné entre mars et juillet.

La majorité des victimes sont des sociétés du secteur de l’énergie d’Europe de l’Est, de républiques de l’ex-URSS et de pays d’Asie et du Moyen-Orient. Outre des centrales électriques, des opérateurs de réseau énergétiques et de fournisseurs de matières premières pour la production d’énergie, la liste des sociétés touchées, telle que dressée par Kaspersky Lab, reprend des organismes gouvernementaux, des services d’intervention fédéraux, des banques et des sociétés de transport de haute technologie.

Le rapport évoque également la découverte de plug-ins qui récoltent des informations sur la connexion des périphériques USB connectés, sur le BIOS, la carte mère et le processeur. Toutefois, l’objectif de la collecte de ces données n’est pas clair.

"Pourquoi les individus malintentionnés auraient-ils besoin d’obtenir des informations sur le port USB ou sur les caractéristiques du BIOS ? Il est probable que l’existence de périphériques USB ou d’un BIOS déterminé permet de charger des plug-ins déterminés pour exécuter des actions complémentaires. Peut-être à des fins destructrices, peut-être pour une infection plus poussée des périphériques. Il est encore trop tôt pour le dire" affirment les deux chercheurs.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *