Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Slingshot : l’espion qui venait du routeur

mars 2018 par Kaspersky

Les chercheurs de Kaspersky Lab ont découvert une menace avancée utilisée pour des
activités de cyberespionnage au Moyen-Orient et en Afrique, depuis au moins 2012
jusqu’en février 2018. Le malware, qu’ils ont nommé « Slingshot », attaque et
infecte ses victimes à travers des routeurs piratés et peut s’exécuter en mode
noyau, ce qui lui donne le contrôle complet des machines ciblées. Selon les
chercheurs, bon nombre des techniques employées par cette menace sont uniques en
leur genre, et la menace se montre extrêmement efficace pour collecter
subrepticement des informations, en dissimulant son trafic dans des paquets de
données marqués qu’elle peut intercepter dans les communications quotidiennes, et
ce, sans laisser de trace.

L’opération Slingshot a été révélée après la découverte par les chercheurs d’un
keylogger Les chercheurs ont alors créé une signature de détection comportementale
afin de vérifier si le code malveillant apparaissait ailleurs. Ils sont ainsi
parvenus à détecter un ordinateur infecté, comportant dans son dossier système un
fichier suspect nommé scesrv.dll. Les chercheurs ont donc décidé d’enquêter plus
avant. L’analyse de ce fichier a révélé que, bien que légitime en apparence, le
module scesrv.dll contenait du code malveillant. Cette bibliothèque infectée étant
chargée par « services.exe » (un processus qui dispose de privilèges système), elle
bénéficiait des mêmes droits d’accès. Les chercheurs ont ainsi pris conscience qu’un
intrus très avancé s’était frayé un chemin au cœur même de l’ordinateur.

L’aspect le plus remarquable de Slingshot tient probablement à son vecteur d’attaque
inhabituel. A mesure que les chercheurs identifiaient d’autres victimes, ils se sont
aperçus que bon nombre d’entre elles semblaient avoir été contaminées au départ par
des routeurs piratés. Au cours de ces attaques, le groupe qui se cache derrière
Slingshot paraît pirater des routeurs et y placer un module DLL malveillant qui sert
en fait à télécharger d’autres composants du malware. Lorsqu’un administrateur se
connecte au routeur pour le configurer, le logiciel de gestion du routeur télécharge
et exécute le module malveillant sur sa machine. La méthode utilisée pour le
piratage initial des routeurs demeure inconnue.

A la suite de l’infection, Slingshot charge un certain nombre de modules sur la
machine de la victime, dont deux très volumineux et puissants : Cahnadr et
GollumApp. Ces deux modules sont interconnectés et peuvent s’épauler mutuellement
pour la collecte, la persistance et l’exfiltration de données.
Slingshot semble avoir principalement pour objectif le cyberespionnage. D’après les
analyses, il recueille des copies d’écran, des frappes clavier, des données réseau,
des mots de passe, des connexions USB et autres activités du poste, le contenu du
presse-papiers, etc., son accès au noyau lui permettant de dérober tout ce qui
l’intéresse.
Cette menace persistante avancée (APT) intègre également diverses techniques pour
échapper à la détection, notamment le chiffrement de toutes les chaînes de
caractères dans ses modules, l’appel direct de services système afin de contourner
les produits de sécurité, l’utilisation de plusieurs techniques antidébogage ou
encore la sélection des processus à injecter en fonction des solutions de sécurité
installées et en service.

Slingshot fonctionne sur le modèle d’une backdoor passive : elle n’a pas d’adresse
de commande et de contrôle (C & C) codée en dur mais l’obtient de l’opérateur en
interceptant tous les paquets réseau en mode noyau et en vérifiant s’il y a deux
constantes magiques codées en dur dans l’en-tête. Si tel est le cas, cela signifie
que ce paquet contient l’adresse C & C. Après cela, Slingshot établit un canal de
communication crypté vers le C & C et commence à transmettre des données pour les
exfiltrer hors du réseau.

Les échantillons malveillants étudiés par les chercheurs étaient marqués « version
6.x », ce qui laisse penser que cette menace existe depuis un laps de temps
considérable. Il est vraisemblable qu’énormément de temps, de compétences et de
moyens financiers ont été investis dans le développement de l’arsenal complexe
d’outils de Slingshot. Mis bout à bout, ces indices paraissent indiquer que le
groupe à l’origine de Slingshot est probablement bien organisé, très professionnel
et soutenu par un Etat. D’après les textes visibles dans le code, ce groupe serait
anglophone. Cependant, l’attribution des activités malveillantes est toujours
difficile, sinon impossible, et de plus en plus sujette à des manipulations et à des
erreurs.
A ce jour, les chercheurs ont dénombré une centaine de victimes de Slingshot et de
ses modules associés, dans différents pays (Kenya, Yémen, Afghanistan, Libye, Congo,
Jordanie, Turquie, Iraq, Soudan, Somalie et Tanzanie). Si la plupart des cibles
semblent être des particuliers plutôt que des entreprises, certaines sont des
administrations ou des institutions. Le plus important contingent de victimes
observé jusqu’à présent se trouve au Kenya et au Yémen.

« Slingshot est une menace avancée, employant un vaste arsenal d’outils et de
techniques, notamment des modules en mode noyau qui n’avaient été observés jusque-là
que dans les prédateurs les plus évolués. Cette fonctionnalité est très précieuse et
rentable pour les auteurs des attaques, ce qui pourrait expliquer pourquoi la menace
est en circulation depuis au moins six ans » commente Alexey Shulmin, analyste
principal en malware chez Kaspersky Lab.

Tous les produits de Kaspersky Lab détectent et bloquent avec succès la menace
Slingshot.

Les chercheurs de Kaspersky Lab recommandent les mesures suivantes pour éviter
d’être victime d’une attaque de ce type :

· Les utilisateurs de routeurs Mikrotik doivent installer dès que
possible la mise à jour la plus récente du logiciel afin d’assurer une protection
contre les vulnérabilités connues. En outre, Mikrotik Winbox ne télécharge plus
aucun fichier du routeur vers l’ordinateur de l’utilisateur.

· Utiliser une solution de sécurité éprouvée de classe entreprise en
combinaison avec des technologies de protection contre les attaques ciblées et une
solution de veille des menaces, telle que Kaspersky Threat Management &
Defense<https://www.kaspersky.com/enterpris...> .
Celles-ci sont à même de détecter et de bloquer les attaques ciblées avancées en
analysant les anomalies sur le réseau et offrent ainsi aux équipes de cybersécurité
une visibilité complète sur le réseau et une automatisation totale de la réponse aux
menaces.

· Faire en sorte que le personnel de sécurité ait accès aux plus
récentes données de veille des menaces, afin qu’il dispose d’outils précieux pour la
recherche et la prévention des attaques ciblées, tels que les indicateurs
d’infection (IoC), les règles YARA ou encore des rapports personnalisés sur les
menaces avancées.

· En présence de signes avant-coureurs d’une attaque ciblée,
envisager de faire appel à des services de protection managés qui permettront de
détecter en amont les menaces avancées, de réduire le délai d’intervention et
d’organiser une réponse rapide aux incidents.
Un rapport sur la menace persistante avancée Slingshot est disponible sur
Securelist<https://securelist.com/apt-slingsho...>


Voir les articles précédents

    

Voir les articles suivants