Exploitation d’une vulnérabilité 0jour dans Windows par le groupuscule APT Sandworm

Ceš groupuscule de cyberespionnage, probablement établi en Russie, a exploité une vulnérabilité de type 0jour dans Windows afin d’attaquer différentes organisations dans plusieurs pays dont les Etats-Unis, la Pologne, l’Ukraine et l’Europe de l’Ouest. La vulnérabilité, éliminée ce mardi par un correctif de Microsoft, peut être facilement exploitée et d’après des chercheurs, le groupuscule à l’origine de l’attaque l’a exploitée depuis le mois d’août afin de diffuser le malware Black Energy.

Les chercheurs de iSIGHT Partners ont indiqué que ce groupuscule, qu’ils ont baptisé Sandworm, est probablement actif depuis 2009 et qu’il a exploité la vulnérabilité Windows CVE-2014-4114 conjointement à d’autres afin de compromettre des utilisateurs au sein d’organismes gouvernementaux, de l’OTAN, d’instituts de recherche et de sociétés des secteurs des télécommunications, de la défense et de l’énergie. Les individus malintentionnés envoient des messages de phishing particulièrement ciblé afin d’amener le destinataire à ouvrir un fichier PowerPoint qui contient le code d’exploitation de la vulnérabilité. Dès que ce code a été exécuté, il télécharge le malware Black Energy et commence à récolter des informations importantes qu’il enverra à ses opérateurs.

Les chercheurs de iSIGHT ont indiqué que ce malware vole entre autres des documents, des clés SSL et des certificats de signature du code. Cette vulnérabilité de type 0jour pour Windows figure dans toutes les versions de Windows actuellement prises en charge et son exploitation, d’après les chercheurs, est très simple. Le code d’exploitation peut être chargé dans n’importe quel document Office et quand il s’exécute, le système ne réagit pas, ce qui explique pourquoi l’utilisateur ne se rend pas compte de l’attaque dans la majorité des cas.

"Cette opération peut se reproduire aisément. Le code d’exploitation ne requiert pas de grandes connaissances techniques" a déclaré Drew Robinson, analyste technique en chef chez iSIGHT.

Les chercheurs d’iSIGHT ont signalé la vulnérabilité à Microsoft le 5 septembre. Ils ont également prévenu leurs partenaires et leurs clients dans divers secteurs sur la campagne Sandworm en cours.

Les messages de phishing ciblés envoyés aux victimes sont rédigés de façon à susciter l’intérêt des destinataires, par exemple en annonçant des documents destinés aux participants à la conférence GlobeSec. Drew Robinson a également déclaré que certains documents sont destinés à des utilisateurs de pays bien définis, par exemple la Pologne ou l’Ukraine. D’après les experts d’iSIGHT, près de 12 organisations ont été victimes de cette vulnérabilité de type 0jour depuis le mois d’août. Dans tous les cas, l’attaque a débouché sur l’installation de Black Energy, un Trojan connu qui a été utilisé dans de nombreuses attaques au fil des ans.

Drew Robinson a déclaré : "Nous n’avons vu que Black Energy. Il se peut qu’il a été sélectionné pour sa modularité. Les individus malintentionnés peuvent l’utiliser pour faire ce qu’ils veulent sur les ordinateurs des victimes."

Black Energy a fait l’objet de plusieurs mises à jour et iSIGHT précise que le groupuscule Sandworm utilise Black Energy 2, une version intermédiaire dotée de fonction de DDoS et capable de voler des données financières.

Les chercheurs de Kaspersky Lab ont observé pendant longtemps les attaques de Black Energy 2 et Alex Gostev, principal expert de la lutte contre les virus au sein de l’équipe GReAT (équipe internationale de recherche et d’analyse) de Kaspersky Lab, a signalé qu’il était prématuré d’affirmer que ces individus malintentionnés étaient russes.

"Le nombre de campagnes de cyberespionnage augmente chaque mois. Certaines de ces campagnes peuvent être identifiées pour diverses raisons : malware sophistiqué, les habitudes des cybercriminels ou les ressources qui leur permettent de réaliser la campagne pendant de longue période ou d’acheter des vulnérabilités de type 0jour qui coûtent cher. Chacun des éléments cités ci-dessus peut indiquer que la campagne d’espionnage est associée à des structures contrôlées par un Etat, mais il est difficile de le prouver. Qui plus est, cette tâche revient aux organes d’enquêtes et non pas aux sociétés spécialisées dans la sécurité de l’information" a déclaré Alex Gostev.

"Les cybercriminels peuvent laisser des indices sur leur langue ou sur leur appartenance ethnique afin de brouiller les pistes.š De plus, le russe est une langue très répandue dans l’espace post-soviétique, surtout dans le domaine des technologies de l’information. Pour cette raison, évoquer une piste "russe" sur la base de ces éléments est prématuré. De plus, les fichiers et les documents que ces cybercriminelles recherchent ne permettent pas de tirer des conclusions définitives."

Le groupuscule qui exploite la vulnérabilité CVE-2014-4114 est actif depuis plusieurs années et comme l’ont indiqué les chercheurs d’iSIGHT, les attaques découvertes il y a peu ressemblent à des opérations plus anciennes et elles se sont distinguées par le passé dans l’utilisation de tactiques criminelles traditionnelles. L’infrastructure utilisée par le groupuscule Sandworm dans les dernières attaques repose dans certains cas sur des nœuds utilisés dans d’autres opérations. Drew Robinson a signalé que le groupuscule Sandworm est probablement basé en Russie. Il tire cette conclusion sur la base des cibles sélectionnées, sur l’utilisation de Black Energy et sur les détails techniques de l’attaque.

Malgré quelques points communs, les chercheurs d’iSIGHT ont déclaré que le groupuscule Sandworm n’avait aucun rapport avec les auteurs d’Energetic Bear qui ont été impliqués récemment dans d’autres attaques APT.

Source :       Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *