Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Scarlet Mimic : L’Unité 42 révèle comment les activistes sont la cible du cyber espionnage

janvier 2016 par Palo Alto Networks

Depuis sept mois, l’unité 42 enquête sur une série d’attaques attribuée à un groupe que nous avons surnommé « Scarlet Mimic ». Le mode opératoire de ces attaques, qui ont commencé il y a plus de quatre ans, laisse supposer des motifs visant principalement à recueillir des informations sur certains activistes qui défendent les droits de minorités. Nous n’avons aucune preuve permettant d’établir un lien direct entre ces attaques et une source gouvernementale. Toujours est-il que les informations obtenues chez ces cibles n’auraient que peu d’utilité pour une entité qui ne serait pas une structure étatique. Nous pensons donc que Scarlet Mimic œuvre pour le compte d’une source gouvernementale.

Notre objectif avec ce rapport est de révéler les outils, les tactiques et l’infrastructure déployés par Scarlet Mimic afin de sensibiliser à cette menace et de réduire son potentiel de nuisance à l’aide de mesures de prévention et de détection. De notre point de vue, nous ne sommes pas en mesure d’identifier les entreprises ciblées par les attaques ayant abouti. Mais, le fait que les outils déployés par Scarlet Mimic soient en cours de développement depuis des années laisse présager du dynamisme de l’adversaire – un adversaire dont une part des opérations a été couronnée de succès. Nos analyses soulignent également une évolution des tactiques employées par Scarlet Mimic qui, après avoir espionné les PC, cible progressivement les terminaux mobiles.

Des personnes isolées ou des groupes de différents types peuvent être visés par une campagne de cyberespionnage. Les organismes gouvernementaux ou les sociétés de haute technologie sont les victimes les plus connues de ce type d’opérations. Il faut cependant savoir que ces cyberespions sont parfaitement équipés pour récolter des renseignements auprès d’un large éventail de sources.

Dans le collimateur des attaques que nous attribuons à Scarlet Mimic, nous retrouvons essentiellement des activistes ouïghours et tibétains, ainsi que leurs soutiens. La communauté tibétaine et les Ouïgours, une minorité musulmane turque établie principalement dans le nord-ouest de la Chine, ont déjà été visés par plusieurs attaques sophistiquées ces 10 dernières années. Les deux communautés ont également des antécédents houleux avec le gouvernement de la République populaire de Chine (RPC), même si nous n’avons aucune preuve directe permettant de relier les attaques de Scarlet Mimic à la RPC.

Des attaques Scarlet Mimic ont également été identifiées en Russie et en Inde à l’encontre de structures gouvernementales chargées de surveiller les activités d’activistes et de terroristes. Même si les cibles exactes de chacune des attaques Scarlet Mimic nous sont inconnues, elles correspondent, à bien des égards, aux modèles décrits plus haut.

Les attaques Scarlet Mimic s’articulent essentiellement autour de l’exploitation d’une porte dérobée (backdoor) Windows appelée « FakeM ». Décrite pour la première fois en 2013 par Trend Micro, cette backdoor fut baptisée FakeM car son principal trafic C2C (contrôles et commandes) imitait le trafic réseau des messageries Windows Messenger et Yahoo ! Messenger pour échapper à toute détection. Nous avons par la suite identifié deux variantes de la famille FakeM qui avaient subi d’importantes modifications par rapport à la version révélée en 2013. Nous avons également distingué neuf familles distinctes de malwares de « chargeurs » que Scarlet Mimic semble utiliser pour infecter un système en passant à travers les mailles du filet.

En plus des variantes FakeM, Scarlet Mimic a également déployé des chevaux de Troie qui ciblent les systèmes d’exploitation Mac OS X et Android. Après analyse de l’infrastructure C2 (Commande et Contrôle) de ces attaques, nous avons pu remonter jusqu’à Scarlet Mimic.

Pour infecter les personnes ayant accès aux données convoitées, Scarlet Mimic procède de deux façons : par des attaques d’hameçonnage ciblé (spear-phishing) et des attaques du point d’eau (watering hole ou Strategic Web Compromise). Les tactiques utilisées ciblent directement des individus précédemment identifiés (spear-phishing) mais également des anonymes intéressés par un sujet donné (watering hole). Pour mener à bien ses attaques d’hameçonnage ciblé, Scarlet Mimic a exploité cinq vulnérabilités distinctes. Mais bien souvent, les cybermalfaiteurs ont délaissé l’exploitation de vulnérabilités logicielles, préférant utiliser des archives RAR auto-extractibles (SFX) avec un caractère Unicode RTLO (Right-to-Left Override) pour masquer la véritable extension du fichier. Ils piègent alors leurs victimes en les incitant à ouvrir des fichiers qui se révèlent être des exécutables.

Comme de nombreux autres cyberdélinquants adeptes du spear-phishing, Scarlet Mimic a massivement recours à des fichiers de « leurre ». Le contenu de ces documents légitimes est en rapport avec le sujet de l’email d’hameçonnage ciblé. Une fois le système infecté, le malware affiche le document leurre pour tromper l’utilisateur et lui faire croire qu’il ne court aucun danger. Ces documents de leurre nous permettent d’identifier le thème de l’email de spear-phishing et, dans certains cas, la cible de l’attaque.

Les dernières attaques Scarlet Mimic identifiées par nos services remontent à 2015. Seraient vraisemblablement en ligne de mire, des activistes musulmans et des personnes démontrant un intérêt pour les critiques à l’encontre du gouvernement russe et du président Vladimir Poutine. À partir de précédentes cibles, nous soupçonnons que ces individus sont visés en raison des informations qu’ils possèdent sur les groupes d’activistes.

Cette analyse se fonde essentiellement sur les données de WildFire, une technologie de Palo Alto Networks qui analyse les malwares utilisés pour les attaques perpétrées à travers le monde. Le système passe également au crible des échantillons de malwares recueillis dans le cadre d’un partenariat avec d’autres éditeurs de solutions de sécurité, y compris nos partenaires de la Cyber Threat Alliance. Pour corréler les attaques entre elles à partir de l’analyse comportementale des malwares et de l’infrastructure C2C, nous nous sommes appuyés sur AutoFocus, notre outil d’analyse des menaces.




Voir les articles précédents

    

Voir les articles suivants