Infos

Destruction dans le sillage des plug-ins du malware BlackEnergy

BlackEnergy, un outil pour cybercriminels pour le moins souple, fonctionne avec un grand nombre de plug-ins pour Linux et Windows, ce qui permet de l’utiliser dans des attaques contre des périphériques réseau Cisco, pour voler des certificats numériques, mettre les périphériques hors d’état et se mettre à l’abri des analystes et spécialistes en sécurité.

BlackEnergy a été utilisé dans plusieurs attaques ciblées de style APT contre des secteurs critiques, dont des gouvernements et l’industrie. La semaine dernière, l’Industrial Control Systems Cyber Emergency Response Team (ICS-CERT, groupe d’intervention rapide face aux incidents informatiques visant des systèmes de commande industriels) a publié un communiqué faisant état de vulnérabilités critiques dans des systèmes de commande industriels et des équipements SCADA qui étaient activement exploitées par des malwares, dont Sandworm.

Une des organisations décrite, sans être nommée, par les experts Maria Garnaeva et Kurt Baumgartner de chez Kaspersky Lab, a été attaquée à l’aide de messages de phishing ciblé contenant un code d’exploitation pour une vulnérabilité non corrigée dans WinRAR. Des plug-ins permettant de voler les données de comptes utilisateur, de se propager par le réseau et de réaliser des captures d’écran ont été découverts sur les ordinateurs infectés. Comme l’ont expliqué Maria Garnaeva et Kurt Baumgartner, dès que les individus malintentionnés remarquaient que leur présence avait été détectée, le plug-in "dstr" était chargé sur l’ordinateur et empêchait le chargement du système d’exploitation.

Trois semaines plus tard, iSIGHT Partners associait BlackEnergy à une campagne d’espionnage russe qui utilisait ce malware dans le but d’exploiter des vulnérabilités Windows de type 0jour afin de voler des données d’organisations publiques, de sociétés actives dans les secteurs de la défense et de l’énergie, de l’OTAN et de fournisseurs de service de télécommunication.

La découverte des plug-ins a exposé les vastes possibilités que pouvaient exploiter les individus malintentionnés. D’après les deux chercheurs, le plug-in le plus étonnant s’appelle weap_hwi. Il s’agit d’un outil d’attaque DDoS contre les systèmes ARM/MIPS. L’étude poussée de l’ensemble de plug-ins Linux a mis en évidence un processus de développement organisé, avec des mises à jour régulières des fichiers de configuration du malware, produites par la petite équipe de développeurs de plug-ins qui maîtrisent plusieurs plateformes.

La liste des plug-ins pour Windows est plus variée que celle pour Linux et contient, outre les plug-ins traditionnels de recherche de fichiers d’un certain type, des plug-ins pour le vol de mots de passe et de certificats, et la commande dstr retranscrit un ensemble aléatoire de données et élimine le contenu du disque dur. De plus, les deux chercheurs ont découvert un canal de communication de secours qui fonctionne entre les comptes Google Plus.

Ils ont en effet identifié dans un fichier de configuration l’identifiant de deux comptes utilisateur Google Plus, dont un avait été consulté 75 millions de fois.

"Ce numéro est un identifiant pour le service plus.google.com et il est utilisé par le plug-in grc dans le cadre de l’analyse html. Ensuite, il télécharge et déchiffre un fichier PNG. Ce fichier PNG contient la nouvelle adresse du serveur de commande, bien que nous n’avons jamais rien vu de la sorte." peut-on lire dans le rapport.

Nos chercheurs ont également évoqué une deuxième victime, sans la nommer, qui a été attaquée grâce à des données d’utilisateur VPN de la première victime. Dans ce cas-ci, les conséquences de l’attaque ont été plus importantes. Plus routeurs Cisco, tous dotés de différentes versions du système d’exploitation Cisco IOS, ont été compromis et l’organisation a signalé qu’elle avait perdu la possibilité de se connecter à ceux-ci via telnet. Les chercheurs ont trouvé un script malveillant dans les systèmes de fichiers des routeurs. Ce script contient des insultes adressées aux analystes de Kaspersky Lab.

Deux autres victimes ont été identifiées. L’une d’entre elles a été victime d’une simple attaque de phishing ciblée, mais aucun périphérique réseau n’a été compromis et aucune données n’a été détruite. La quatrième victime de BlackEnergy a été attaquée via une vulnérabilité dans du matériel SCADA de Siemens à un moment donné entre mars et juillet.

La majorité des victimes sont des sociétés du secteur de l’énergie d’Europe de l’Est, de républiques de l’ex-URSS et de pays d’Asie et du Moyen-Orient. Outre des centrales électriques, des opérateurs de réseau énergétiques et de fournisseurs de matières premières pour la production d’énergie, la liste des sociétés touchées, telle que dressée par Kaspersky Lab, reprend des organismes gouvernementaux, des services d’intervention fédéraux, des banques et des sociétés de transport de haute technologie.

Le rapport évoque également la découverte de plug-ins qui récoltent des informations sur la connexion des périphériques USB connectés, sur le BIOS, la carte mère et le processeur. Toutefois, l’objectif de la collecte de ces données n’est pas clair.

"Pourquoi les individus malintentionnés auraient-ils besoin d’obtenir des informations sur le port USB ou sur les caractéristiques du BIOS ? Il est probable que l’existence de périphériques USB ou d’un BIOS déterminé permet de charger des plug-ins déterminés pour exécuter des actions complémentaires. Peut-être à des fins destructrices, peut-être pour une infection plus poussée des périphériques. Il est encore trop tôt pour le dire" affirment les deux chercheurs.

Source : Threatpost

Destruction dans le sillage des plug-ins du malware BlackEnergy

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception