Implants mobiles dans l’ère du cyberespionnage et des attaques ciblées

Contexte

Suite aux révélations sur l’existence d’applications d’espionnage électronique produites en masse, de nombreux prestataires de service de messagerie électronique, entreprises et particuliers ont commencé à utiliser le chiffrement des données. Certains ont mis en œuvre des solutions de chiffrement forcé pour les connexions au serveur, tandis que d’autres ont franchi un pas supplémentaire et ont mis en œuvre le chiffrement de bout en bout aussi bien pour la transmission de données que pour le stockage sur le serveur.

Malheureusement ces mesures, bien qu’importantes, n’ont pas réussi à résoudre le problème fondamental. Le fait est que l’architecture originale utilisée dans le courrier électronique permet la lecture des métadonnées en tant que texte brut, aussi bien sur les messages reçus que dans les messages envoyés. Parmi les données qui figurent dans ces métadonnées, citons le destinataire, l’expéditeur, la date d’envoi/de réception, l’objet, la taille du message, la présence ou non de pièces jointes et l’adresse de messagerie employée pour envoyer les messages.

Pour l’organisateur d’une attaque ciblée, ces informations suffisent amplement pour reconstituer la chronologie d’une conversation, voir quand les personnes ont communiqué, le sujet des conversations et la fréquence de celles-ci. A l’aide de ces informations, les auteurs de menaces peuvent combler les trous et obtenir les informations suffisantes sur leur cible.

Il ne faut pas non plus oublier que les technologies évoluent. Ce qui est chiffré aujourd’hui pourra peut-être être facilement déchiffré dans quelques années, voire dans quelques mois, en fonction de la robustesse de la clé de chiffrement et de la vitesse du développement des technologies.

Pour cette raison, de nombreux utilisateurs ont arrêté d’échanger des informations confidentielles par courrier électronique. Ils préfèrent utiliser des applications de messagerie sécurisée pour mobile avec chiffrement de bout en bout, zéro stockage sur un serveur et des suppressions programmées. D’un côté, ces applications gèrent un chiffrement robuste des données et des connexions. D’un autre côté, elles gèrent la suppression automatique des données sur les téléphones mobiles et les serveurs du prestataire. Finalement, elles ne contiennent pratiquement aucune métadonnée ou sont impersonnelles, ce qui prive l’attaquant de la possibilité d’identifier la cible ou d’établir des corrélations entre les données. Ainsi, ces conversations sont véritablement confidentielles, sécurisées et pratiques.

Face à ce scénario, les auteurs de menaces ont développé des implants pour les appareils mobiles car, du point de vue du piratage, un implant permet de contourner toutes les restrictions techniques citées ci-dessus, à savoir l’impossibilité d’intercepter les conversations entre des utilisateurs qui ont adopté ces applications de messagerie mobile sécurisées. Qu’est-ce qu’un implant ? Ce terme intéressant a été inventé par ces auteurs de menaces à l’origine des attaques ciblées. Nous les avons vu pour la première fois lors de la campagne Careto que nous avions dévoilée il y a quelques années.

Nous allons maintenant analyser quelques implants développés par HackingTeam en vue d’infecter des appareils mobiles tournant sous iOS (Apple), Android, Blackberry et Windows Mobile. HackingTeam n’est pas le seul groupe qui développe des implants pour appareils mobiles. Il existe plusieurs campagnes d’origines différentes qui ont investi dans le développement de malwares mobiles et qui les ont utilisés dans le cadre d’attaques ciblées au niveau régional et international.

Implants pour Android

Les téléphones Android coûtent moins cher et par conséquent, ils sont les plus répandus à travers le monde. C’est la raison pour laquelle les auteurs de menaces qui organisent des attaques ciblées concentrent tous leurs efforts sur les téléphones Android et ils ont développé des implants pour ce système d’exploitation en particulier.

Arrêtons-nous un instant sur ce dont est capable un de ces implants.

HEUR:Trojan-Spy.AndroidOS.Mekir.a

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Tout le monde sait que l’algorithme de chiffrement utilisé dans les messageries texte est faible. On peut dès lors affirmer sans crainte que presque tous les messages envoyés par ces messageries pourraient être interceptés. C’est précisément la raison pour laquelle de nombreux utilisateurs ont commencé à utiliser des programmes de messageries instantanées. Dans l’extrait de code ci-dessus, nous voyons comment les auteurs de menace peuvent accéder à la base de données de messages utilisée par WeChat, une application mobile de messagerie texte.

Admettons que l’application de messagerie utilisée par la victime est vraiment sûre et utilise un chiffrement de bout en bout robuste, mais que les messages envoyés et reçus sont stockés localement. Dans ce cas, les auteurs de menaces pourraient toujours décoder ces messages. En effet, s’ils volent une base de données avec la clé de chiffrement stockée sur l’appareil de la victime, les auteurs de menaces à l’origine de ces attaques peuvent déchiffrer tout le contenu. Ceci inclut tous les éléments de la base de données. Pas seulement les informations textuelles, mais également les emplacements géographiques partagés, les images, les fichiers et autres données.

De plus, les auteurs de menaces peuvent manipuler l’appareil photo du téléphone. Ils peuvent même prendre une photo de la victime afin de confirmer son identité. Ceci concerne d’autres données comme le fournisseur du réseau sans fil auquel le téléphone est connecté.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

En réalité, l’application que la victime utilise n’a pas d’importance. Une fois que l’appareil mobile a été infecté, les auteurs de menaces peuvent lire tous les messages envoyés et reçus de la victime. Les extraits de code suivants contiennent les instructions utilisées pour interagir avec les applications de messagerie Viber et WhatsApp.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Dès qu’un appareil mobile a été compromis à l’aide d’un implant, la règle devient très simple : si vous lisez un message textuel sécurisé sur votre écran, l’auteur de menaces à l’origine de l’implant peut le lire également.

Implants pour iOS

Il n’y a aucun doute : les appareils mobiles Apple sont également très répandus. Sur certains marchés, ils ont certainement plus la cote que les appareils Android.

Apple a réalisé un très bon travail au niveau de l’architecture de la sécurité de ses appareils. Toutefois, ceci ne les protège pas complètement contre les attaques de malwares, surtout quand les auteurs de menaces impliqués sont très doués.

Ces appareils sont exposés à plusieurs vecteurs d’infection. Quand des cibles de haut vol sont sélectionnées, il se peut que les auteurs de menaces à l’origine de ces attaques ciblées recourent à des techniques d’infection qui reposent sur des codes d’exploitation dont les coûts sont plus élevés (des centaines de milliers de dollars), mais dont l’efficacité est supérieure également. Si les cibles ont un profil moyen, les individus malintentionnés utilisent des techniques moins avancées, mais tout aussi efficaces. Par exemple, il peut s’agir de l’installation de malwares via la connexion de l’appareil mobile via le port USB à un ordinateur infecté au préalable.

Quelles sont les capacités techniques des implants pour iOS ? Prenons l’exemple de l’implant suivant :

Trojan.OSX.IOSInfector.a

Ce Trojan infecte les appareils iOS lorsqu’ils sont chargés par la victime de l’attaque qui repose sur le débridage de l’appareil. En d’autres termes, si la victime a l’habitude de charger son téléphone mobile via un câble USB, l’ordinateur préalablement infecté peut imposer un débridage total de l’appareil et une fois ce processus terminé, l’implant cité ci-dessus est installé.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Vous pouvez voir dans ce code que l’attaquant est capable d’infecter l’appareil et de confirmer l’identité de la victime. Cette étape est cruciale lors des attaques ciblées car les auteurs de menace ne veulent surtout pas infecter la mauvaise victime ou, pire encore, perdre le contrôle de l’implant et ruiner toute l’opération, ce qui exposerait l’attaque au public.

Par conséquent, parmi les capacités techniques de ces implants, il y a la vérification du numéro de téléphone de la victime ainsi que d’autres données afin de confirmer que la cible est la bonne.

Dans le cadre de ces opérations de reconnaissance, cet implant vérifie également le nom de l’appareil mobile et le modèle exact, l’état de charge de la batterie, les données de la connexion Wi-Fi et le numéro IMEI, unique pour chaque appareil.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Quel est l’intérêt de vérifier l’état de charge de la batterie ? Plusieurs raisons peuvent être avancées, la principale étant que les données extraites de l’appareil infecté peuvent être transférées via Internet vers le serveur du pirate. Or, quand un appareil mobile est connecté à Internet, via le réseau de données ou une connexion Wi-Fi, la batterie se décharge plus vite. Si l’auteur de la menace extrait les données au mauvais moment, la victime pourrait aisément remarquer qu’il y a un problème au niveau du téléphone car la batterie se réchaufferait et se déchargerait plus vite que d’habitude. C’est la raison pour laquelle les auteurs de menaces préfèrent extraire les données de la victime, surtout s’il s’agit d’objets volumineux comme des photos ou des vidéos, lorsque les batteries sont en cours de chargement et que le téléphone est connecté à un réseau Wi-Fi.

Un des éléments clés de toute technique d’espionnage est de parvenir à combiner le monde réel de la victime et son monde numérique. En d’autres termes, l’objectif n’est pas simplement de voler des informations stockées sur le téléphone portable, mais également d’être à l’écoute des conversations menées hors ligne. Comment cela est-il possible ? Grâce à l’activation de la caméra frontale et du microphone sur les appareils. Le problème est que si le téléphone n’est pas en mode silencieux ou vibreur, il émettra un son spécial lorsqu’il prend des photos. Comment les individus malintentionnés ont-ils résolu ce problème ? Les implants sont dotés d’un paramètre spécial qui désactive les sons de la caméra.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Une fois que l’identité de la victime a été confirmée, le pirate commence à nouveau à compiler les informations qui l’intéressent. Le code ci-dessous montre que les auteurs de menaces sont intéressés par les conversations Skype de leurs victimes.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

De cette manière, ils ont un contrôle total sur les conversations des victimes. Dans cet exemple, les auteurs de menaces utilisent l’application de messagerie Skype, mais il pourrait s’agir de n’importe quelle application, y compris des applications jugées très sûres. Comme nous l’avons déjà dit, le maillon le plus faible est le terminal mobile. Une fois que celui-ci a été compromis, il n’est pas nécessaire de déchiffrer le moindre algorithme de chiffrement, quel que soit sa robustesse.

Implants pour Blackberry

Il se peut que certaines cibles utilisent un Blackberry, considéré comme un des systèmes d’exploitation les plus sûrs du marché. Bien que ces appareils soient plus sûrs, les auteurs de menaces ne sont pas restés à la traîne et leur arsenal est prêt.

Trojan-Spy.BlackberryOS.Mekir.a

Cet implant se caractérise par une obfuscation poussée du code. Ce qui rend l’analyse complexe. Lorsque nous examinons ce code, nous voyons clairement que l’implant provient du même auteur de menaces, mais que le développeur appartient à un groupe de développeurs différent. C’est comme si un groupe spécial avait été chargé de développer des implants pour ce système d’exploitation en particulier.

Quelles sont les actions qu’un implant de cette catégorie peut réaliser sur un Blackberry infecté ? Il existe plusieurs possibilités :

  • Vérification de l’état de charge de la batterie
  • Suivi de la position géographique de la victime
  • Détection du remplacement d’une carte SIM
  • Lecture des textos stockés sur l’appareil
  • Compilation des appels réalisés ou reçus.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Lorsque les téléphones Blackberry commenceront à utiliser le système d’exploitation Android, les auteurs de menaces disposeront d’un grand terrain d’action.

Implants pour Windows Mobile

Windows Mobile n’est peut être pas le système d’exploitation le plus répandu parmi les appareils mobile, mais il s’agit du système utilisé sur les appareils Nokia, les préférés des consommateurs à la recherche de la qualité et de la réputation du fabricant. Certaines cibles pourraient utiliser ce système d’exploitation et c’est la raison pour laquelle des implants pour Windows Mobile sont également en cours de développement. Nous allons maintenant aborder les capacités techniques des implants pour appareils Windows Mobile.

HEUR:Trojan-Spy.WinCE.Mekir.a

Lorsque cet implant infecte l’appareil mobile d’une victime, il se dissimule sous les traits d’un fichier de bibliothèque dynamique appelé bthclient.dll, un prétendu pilote Bluetooth.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Les capacités de ces implants sont pratiquement sans limites. Les auteurs de menaces peuvent réaliser plusieurs actions, dont :

  • la vérification de la liste de toutes les applications installées ;
  • le nom du point d’accès Wi-Fi auquel la victime est connectée ;
  • le contenu du presse-papiers qui renferme généralement des informations utiles de la victime et par conséquent, intéressantes pour l’attaquant.

Les auteurs de menaces peuvent même obtenir le nom de l’APN auquel les victimes se connectent quand elles utilisent l’abonnement de données de leur opérateur.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

De plus, les auteurs de menaces peuvent opérer une surveillance active d’applications spécifiques telles que le client de messagerie natif ou le hub de messagerie utilisé par les appareils Windows Mobile pour traiter les données de communication des victimes.

Implants mobiles dans l'ère du cyberespionnage et des attaques ciblées

Conclusions

Au vu des explications fournies dans l’introduction, il est probable que les conversations les plus discrètes soient réalisées à l’aide d’applications mobiles sécurisées de bout en bout et non pas nécessairement via des messages électroniques envoyés avec PGP. Les auteurs de menace en sont conscients et c’est pourquoi ils ont consacré beaucoup d’efforts au développement d’implants non seulement pour les ordinateurs de bureau, mais également pour les appareils mobiles. Nous pouvons affirmer sans crainte que les auteurs de menaces retirent plusieurs avantages lorsqu’ils infectent un appareil mobile au lieu d’un ordinateur traditionnel. Les victimes portent toujours leur téléphone mobile, ce qui veut dire que ces appareils contiennent des informations qui ne se trouveront pas sur l’ordinateur au bureau. De plus, les appareils mobiles bénéficient souvent d’une protection inférieure du point de vue technologique et bien souvent, les victimes ne pensent pas que leur téléphone pourrait être infecté.

Même si un chiffrement robuste est appliqué aux données, un terminal mobile qui a été compromis est complètement exposé à la surveillance car l’auteur de menaces disposera des mêmes capacités de lecture des messages que les utilisateurs. Les auteurs de menaces n’ont pas besoin de déjouer des algorithmes de chiffrement ou d’intercepter des données au niveau du réseau. Ils leur suffit de lire les informations de la même manière que la victime.

Les implants pour appareils mobiles n’appartiennent pas au groupe des attaques massives lancées par des cybercriminels : ils sont utilisés dans des attaques ciblées dont les victimes ont été soigneusement choisies. Qu’est-ce qui peut faire de vous une cible ?

Plusieurs éléments interviennent dans la définition d’une cible : la personne a-t-elle une exposition politique, possède-t-elle des contacts qui intéressent l’auteur de menaces, travaille-t-elle sur un projet secret ou sensible qui intéresse également l’auteur de menace ? Une chose est certaine : si vous êtes ciblé par une attaque de ce genre, le risque d’infection est élevé.

Tout ce que nous voyons maintenant est une bataille pour les chiffres. Vous ne savez pas si vous allez devenir une victime. Par contre, vous pouvez adopter des mesures pour augmenter le coût d’une telle attaque au point où l’auteur de menaces pourrait abandonner et choisir une cible moins chère qui présente un plus grand intérêt en terme de temps investi et de risque de découverte de la campagne du code d’exploitation. Comment faire pour augmenter le coût d’une attaque ? Voici un ensemble de solutions, de meilleures pratiques et de bonnes habitudes à prendre en général. Chaque cas est unique. Toutefois, l’idée consiste à démotiver l’auteur de menaces lorsqu’il s’aperçoit que l’opération requiert trop de travail et que le risque d’échec augmente.

Voici quelques recommandations élémentaires pour améliorer la sécurité de vos appareils mobiles :

  • Connectez-vous toujours à Internet via un VPN. Votre trafic Internet sera ainsi plus difficile à intercepter et moins exposé aux malwares qui pourraient être injectés directement dans une application légitime téléchargée depuis Internet.
  • Evitez de recharger vos appareils mobiles en les connectant au port USB de l’ordinateur. La meilleure chose à faire est de brancher le téléphone directement dans une prise d’alimentation électrique.
  • Installez un logiciel antivirus. Et choisissez le meilleur. Il semblerait que l’avenir de ces solutions repose sur les mêmes technologies que celles déjà utilisées dans la protection des ordinateurs de bureau : le refus par défaut et les listes blanches.
  • Protégez votre appareil à l’aide d’un mot de passe et non d’un PIN. Si le PIN est obtenu, les auteurs de menace pourraient accéder physiquement à l’appareil mobile et installer l’implant à votre insu.
  • Utilisez le chiffrement dans les mémoires de stockage de données utilisées par vos appareils mobiles. Ce conseil est particulièrement indiqué pour les appareils qui permettent l’extraction du disque dur. Si les auteurs de menaces extraient la mémoire en la connectant à un autre appareil, ils pourront manipuler facilement le système d’exploitation et les données en général.
  • Ne débridez pas votre appareil, surtout si vous n’êtes pas certains des conséquences.
  • N’utilisez pas des téléphones d’occasion sur lesquels des implants pourraient déjà être installés. Ce point est particulièrement important si vous achetez le téléphone mobile à une personne que vous ne connaissez pas vraiment.
  • Veillez à toujours maintenir à jour le système d’exploitation de l’appareil et installez les mises à jour les plus récentes dès qu’elles sont disponibles.
  • Passez en revue tous les processus exécutés dans la mémoire de l’appareil.
  • Passez en revue toutes les applications autorisées dans le système et désactivez l’envoi automatique de données pour les connections et aux autres données de service, même si la communication se déroule entre votre téléphone et votre opérateur.
  • Et pour conclure, n’oubliez pas que les conversations normales tenues dans un environnement naturel seront toujours plus sûres que les conversations électroniques.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *