Volatile Cedar, premier groupe APT du Liban

Un groupe d’organisation attaques APT, intéressé par des cibles particulières, situées en majorité en Israël, utilise un implant malveillant très discret afin de voler des données auprès de groupes impliqués dans le gouvernement et la politique.

Le groupe, baptisé Volatile Cedar par les chercheurs de Check Point Software Systems, est actif depuis 2012 et serait lié aux autorités libanaises ou à des groupes politiques actifs dans ce pays.

"Jusqu’à ce jour, nous ne savions pas que les Libanais disposaient d’une certaine capacité en matière de cyberespionnage. Cela n’a toutefois rien de surprenant car ce n’était qu’une question de temps avant qu’un membre des autorités gouvernementales ou des grands partis politiques ne commence à développer des possibilités dans ce domaine" a déclaré Shahar Tal, directeur chargé de l’étude des vulnérabilités chez Check Point Software Technologies.

Shahar Tal a déclaré qu’un grand nombre des cibles confirmées étaient des organisations israéliennes ou de pays proches, comme la Turquie. On retrouve parmi ces cibles des entreprises du secteur de la défense, des télécommunications et de l’informatique, des médias et des institutions académiques.

L’implant, dénommé Explosive, est un Trojan d’accès à distance qui est doté de nombreuses capacités, non seulement en matière de vol de données des victimes, mais également au niveau de la dissimulation de sa présence pour les victimes et les logiciels de protection. L’implant n’a été utilisé que quelques fois et dès qu’il commence à être détecté par un logiciel antivirus ou une application de détection des intrusions, une nouvelle version est développée rapidement.

Check Point déclare avoir identifié cinq versions d’Explosive depuis sa première utilisation en 2012. A chaque fois, le malware s’est enrichi de nouvelles fonctions d’attaques ou de méthodes d’obfuscation. Les versions 1 à 3 ont rapidement évolué vers le chiffrement du trafic de réseau et l’ajout de la surveillance du Presse-papier et d’autres fonctions de surveillance, jusqu’à des versions plus rares du malware baptisées KS et Micro. KS ne communique pas via une backdoor : il place les données sur le serveur compromis afin que les individus malintentionnés puissent les déplacer plus tard. Micro, quant à lui, pourrait être le prédécesseur d’Explosive, mais Check Point n’a découvert que quelques exemplaires.

Au lieu de recourir au phishing pour réaliser l’infection initiale, la campagne de Volatile Cedar repose normalement sur l’attaque de serveurs Windows accessibles au public comme l’explique Check Point. Ces serveurs sont utilisés dans l’étape initiale de l’attaque avant de s’en prendre à d’autres machines dans le réseau cible.

"L’attaque par harponnage est la méthode privilégiée" explique Shahar Tal. "Elle constitue un moyen très efficace pour pénétrer dans un réseau. Si vous êtes doué en piratage, vous allez obtenir quelque chose sur ce serveur Web. Une fois dans le serveur Web, il n’y a en général pas beaucoup d’obstacles qui vous séparent de l’Intranet"

Shahar Tal a expliqué que certaines organisations sacrifiaient la sécurité des systèmes internes au profit des performances et misaient sur un périmètre de sécurité autour du serveur Web.

Il ajoute : "C’est un point unique qui ouvre les portes du réseau interne et qui ignoré par la majorité des pare-feu. Les gens ne le savent pas. Ils ne créent pas assez de segments dans le réseau car ils pensent que le serveur Web va bloquer tout. Le fait est qu’une fois qu’une application Web a été compromise, il n’y a aucune protection interne qui peut intervenir.

Une fois que les individus malintentionnés ont détecté un serveur public, ils y recherchent la présence éventuelle de vulnérabilités et s’ils en trouvent, ils introduisent un environnement d’exécution Web qui fera office de backdoor pour l’envoi des informations volées et des nouvelles commandes et configurations aux machines infectées, dont le Trojan Explosive.

"Ce Trojan permet aux individus malintentionnés d’envoyer des commandes à l’ensemble des cibles via un groupe de serveurs de commande. La liste des commandes contient toutes fonctions dont l’individu malintentionné a besoin pour gérer l’opération et extraire l’information des serveurs. Il s’agit entre autres de l’enregistrement des frappes au clavier, du contenu du Presse-papier, de la réalisation de captures d’écran, de l’exécution de commandes etc. comme l’indique le rapport. De temps à autres, principalement lorsqu’il faut extraire des volumes importants de données, l’individu malintentionné installe un tunnel SSH supplémentaire qui se connecte aux serveurs PLink gérés par les individus malintentionnés."

Check Point a indiqué que le Trojan Explosive se compose d’un fichier binaire exécutable et d’une DLL avec des appels API backend. Le fichier binaire contient la logique du Trojan tandis que la DLL contient les fonctions API exportées.

"Le fichier DLL d’Explosive est chargé dynamiquement par le fichier exécutable principal lorsque les circonstances l’exigent et il est déchargé lorsque l’action requise a été réalisée" peut ont lire dans le rapport. Il semblerait que cette répartition soit nécessaire pour permettre aux individus malintentionnés d’une part d’appliquer rapidement des correctifs de fonction et d’autre par, pour éviter la détection heuristique du fichier exécutable principal par les moteurs des logiciels antivirus et autres solutions de production les plus répandues.

Explosive crée plusieurs threads, dont un enregistreur de frappes, un enregistreur de presse-papiers, un dispositif de surveillance de la mémoire et des outils de vérification de la connexion avec le serveur de commande qui permettent de confirmer que les communications sont sécurisées avant d’envoyer les données ou de recevoir de nouvelles commandes. Ces commandes permettent de réaliser un vidage de l’historique de la navigation dans Internet Explorer, de voler les mots de passe enregistrés, d’obtenir les valeurs des clés de la base de registres, d’obtenir la liste des processus en exécution, de lancer une ligne de commande, d’envoyer des fichiers vers le serveur de commande, de supprimer certains fichiers, de récupérer le contenu d’un dossier, de supprimer les processus d’Explosive, de supprimer les traces et de redémarrer.

Bien que l’origine n’ait pas été définie à 100 %, Check Point a déclaré qu’elle possédait assez d’éléments pour attribuer une origine libanaise à cette menace ATP. Par exemple, les heures de compilation font référence aux heures de travail dans cette région. Les premiers serveurs de commande se trouvaient chez un hébergeur Internet au Liban, ce qui n’est pas typique pour les autres campagnes ATP. De même, les informations dans le DNS de certains serveurs de l’infrastructure pointent vers le Liban, à l’instar des coordonnées reprises dans le DNS lié à des comptes de réseaux sociaux axés sur la politique libanaise.

"On est loin du niveau des malwares de la NSA, mais ce Trojan n’est pas non plus l’œuvre de débutants" a déclaré Shahar Tal. Ils ne remplacent pas les micrologiciels mais implantent des fonctions furtives et suppriment ce qui pourrait provoquer une réaction des outils d’analyse. Ils compensent leur manque de connaissances techniques par une discipline dans l’exécution."

UPDATE

Kaspersky Lab a mentionné ses travaux sur l’infrastructure exploitée par la campagne Volatile Cedar. La société a décrit l’algorithme de sélection du serveur de commande utilisé par les backdoors du groupe.

Au début, les backdoors tentent de se connecter à un des serveurs de commande de la sélection statique qui les redirige vers d’autres serveurs. En cas d’échec de la connexion à ce serveur, elles passent à l’algorithme de création de domaines et vérifient s’il est possible de s’y connecter.

Le malware Explosion est identifié par les solutions de Kaspersky Lab sous le nom Trojan.Win32.Explosion. La société a dénombré à ce jour 31 versions. Trojan.Win32.Agent.adsct et Trojan-Dropper.Win32.Dycler.vhp apparaissent également dans la campagne Volatile Cedar.

Source :        https://threatpost.com/volatile-cedar-apt-group-first-operating-out-of-lebanon/111895

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *