Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET révèle une opération initiée en 2013 par APT29 qui cible des entités gouvernementales

octobre 2019 par ESET

Les Dukes (alias APT29 et Cozy Bear) ont brièvement été sous les feux de la rampe après leur implication supposée dans le piratage du Conseil National Démocrate (DNC) lors de la campagne électorale américaine de 2016. Après une attaque en Norvège en janvier 2017 et malgré un retour supposé en novembre 2018, les Dukes semblaient avoir disparu de la scène du cyberespionnage. Pourtant, des chercheurs d’ESET ont mis au jour une opération baptisée « Operation Ghost », qui a démarré beaucoup plus tôt, en 2013, et qui continue encore aujourd’hui. Les Dukes ont infiltré une ambassade de l’Union européenne à Washington, D.C., ainsi que des ministères des Affaires étrangères dans au moins trois pays différents en Europe.

ESET a identifié trois nouvelles familles de malwares associées aux Dukes, à savoir PolyglotDuke, RegDuke et FatDuke. « L’une des premières traces publiques de cette campagne peut être détectée sur Reddit en juillet 2014 », explique Matthieu Faou, chercheur d’ESET. « Nous pouvons confirmer avec une quasi-certitude que le même groupe se cache derrière l’Operation Ghost et l’attaque du DNC », ajoute-t-il. Chronologie de « l’Operation Ghost » basée sur les données de télémétrie d’ESET.

Ces attaques ont été attribuées aux Dukes du fait de plusieurs similitudes tactiques observées entre cette campagne et les opérations précédentes du groupe. Plus précisément, les Dukes se sont servis de Twitter et Reddit pour héberger des URL du serveur de commande et de contrôle et ils ont utilisé une sténographie en images pour camoufler des charges utiles ou des commandes malveillantes. Par ailleurs, les ministères des Affaires étrangères ont continué d’être pris pour cibles puisque deux des trois cibles avaient été auparavant corrompues par le groupe et avaient encore au moins un ordinateur infecté par d’« anciens » malwares Dukes installés plusieurs mois plus tôt. Nouvelle preuve : les fortes similitudes de code entre les échantillons déjà documentés et l’Operation Ghost.

« En 2013, à la première date de compilation connue de PolyglotDuke, seul MiniDuke avait été documenté et par conséquent, nous pensons que l’Operation Ghost était menée en parallèle des autres campagnes, et qu’elle avait échappé aux radars jusqu’à présent », explique Matthieu Faou.

Dans l’Operation Ghost, les Dukes ont utilisé un nombre limité d’outils, mais ils se sont servis de nombreuses tactiques intéressantes pour éviter d’être détectés. Les Dukes sont très persévérants et ils volent méthodiquement les mots de passe afin de les utiliser pour se déplacer latéralement dans le réseau. ESET les a détectés alors qu’ils utilisaient des mots de passe administratifs pour corrompre ou re-corrompre des ordinateurs dans le même réseau local.

Les Dukes ont une plateforme sophistiquée de malwares, décomposée en quatre phases. Dans un premier temps, les malwares vont chercher l’URL du serveur de commande et de contrôle via Twitter ou d’autres réseaux sociaux ou sites Internet. Dans un deuxième temps, ils utilisent Dropbox pour recevoir les commandes des pirates. Dans un troisième temps, ils placent une simple porte dérobée, laquelle place à son tour, lors de la dernière étape, une porte dérobée plus sophistiquée dotée d’un grand nombre de fonctionnalités et d’une configuration flexible.

Pour plus d’informations, consultez l’article (en anglais) « Operation Ghost : The Dukes aren’t back – they never left » et un livre blanc détaillé ici.




Voir les articles précédents

    

Voir les articles suivants