Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

« Crouching Yeti », alias « Energetic Bear » : analyse d’une cyberattaque

octobre 2014 par Emmanuelle Lamandé

A l’occasion des Assises de la Sécurité, Nicolas Brulez, Principal Malware Researcher de Kaspersky Lab, a présenté les résultats d’une recherche, menée par l’équipe GReAT (Global Response & Emergency Team) dont il fait partie, sur l’attaque ciblée « Energetic Bear », renommée « Crouching Yeti » par Kaspersky Lab. Cette attaque compte plus de 2 000 victimes « formelles » à son actif dans le monde. Parmi elles, on retrouve notamment des entreprises de construction industrielle, pharmaceutiques, de technologies mécaniques, ainsi que des universités de recherche.

Le malware Energetic Bear / Crouching Yeti est impliqué dans plusieurs campagnes de menaces persistantes avancées (APT). Si les origines de cette campagne remontent à la fin de l’année 2010, celle-ci n’en est pas moins extrêmement virulente aujourd’hui, ciblant chaque jour de nouvelles victimes.

Les premiers à avoir découvert l’attaque pensaient qu’elle était l’œuvre d’attaquants russes intéressés uniquement par des entreprises opérant dans le domaine énergétique, d’où l’appellation « Energetic Bear ». Cependant, pour les chercheurs de Kaspersky Lab, rien ne prouve aujourd’hui l’origine des attaquants, sans compter que de nombreux autres secteurs en ont été la cible. C’est pourquoi ils ont choisi de la rebaptiser : « Crouching Yeti ».

Selon l’étude de Kaspersky Lab, ses victimes paraissent effectivement représenter un plus grand nombre d’entreprises que ce qui avait été supposé jusque-là. Les plus nombreuses appartiennent aux secteurs suivants : processus industriels/machines-outils, fabrication, industrie pharmaceutique, bâtiment, éducation et informatique.

Les entreprises attaquées se situent essentiellement aux Etats-Unis, en Espagne, au Japon, en Allemagne, en France, en Italie, en Turquie, en Irlande, en Pologne et en Chine. Compte tenu de la nature des victimes identifiées, le principal risque pour elles est la fuite d’informations très sensibles, telles que des secrets de fabrication et du savoir-faire.

Havex : le principal outil d’attaque, mais pas le seul…

Crouching Yeti n’est pas vraiment une campagne sophistiquée, bien qu’active depuis plusieurs années. Par exemple, les auteurs des attaques n’ont pas exploité de failles « zero day », mais uniquement des vulnérabilités largement documentées sur Internet. Pour infecter les victimes, les attaquants ont principalement utilisé trois méthodes : le Spear phishing, les installeurs de logiciels backdoorés et le Waterholing. Plusieurs types d’outils malveillants ont également été employés par les auteurs des attaques pour dérober des informations clés sur les systèmes infectés : principalement le Cheval de Troie Havex, mais aussi le Cheval de Troie Sysmain, les backdoors The ClientX et Karagany, ainsi que des outils indirects de type « lateral movement » et « second stage ».

L’outil le plus largement utilisé est le cheval de Troie Havex. Au total, les chercheurs de Kaspersky Lab ont découvert pas moins de 27 versions distinctes de ce programme malveillant, ainsi que plusieurs modules annexes, notamment destinés à la collecte de données auprès de systèmes de contrôle de processus industriels. En ce qui concerne les serveurs C&C, Havex et les autres outils malveillants de Crouching Yeti se connectent à un vaste réseau de sites Web piratés. Ces derniers hébergent les adresses des victimes et diffusent vers les systèmes infectés des commandes, ainsi que des modules de malware complémentaires. Ces modules téléchargeables servent en particulier à dérober des mots de passe et des contacts Outlook, à effectuer des captures d’écran mais aussi à rechercher et subtiliser certains types de fichiers : documents texte, tableurs, bases de données, PDF, listes protégées de mots de passe, clés de sécurité PGP...

Bien souvent, les APT exploitent des failles connues depuis un an ou plus, explique-t-il, d’où l’importance de mettre régulièrement à jour les logiciels. Le groupe d’attaquants a d’ailleurs utilisé des sites compromis utilisant des CMS non mis à jour. Il a également eu recours à de nombreux outils et logiciels légitimes, ainsi qu’à du chiffrement très bien implémenté. Tous les logs étaient chiffrés dans les modules, rendant l’analyse très complexe.

De nombreux secteurs visés et une origine encore indéterminée...

Les chercheurs de Kaspersky Lab ont observé plusieurs métacaractéristiques qui pourraient laisser deviner la nationalité des cybercriminels se cachant derrière cette campagne. En particulier, après analyse de l’horodatage de 154 fichiers, ils en ont conclu que la plupart des échantillons avaient été compilés entre 6 h et 16 h (UTC), ce qui pourrait correspondre à toute l’Europe de l’Ouest ou de l’Est. Les experts ont également analysé la langue utilisée dans les messages à l’intérieur du code malveillant. Les strings présents dans les backdoors, exploits… sont en anglais. Mais un anglais écrit par des individus dont ce n’est pas la langue maternelle. Quoi qu’il en soit, rien ne permet de prouver et d’affirmer qu’il s’agit ou non d’un groupe d’origine russe.

Au final, le nombre total de victimes recensées à travers le monde à ce jour est de 2 811, même s’il y en a beaucoup plus en réalité. Parmi elles, les chercheurs de Kaspersky Lab ont pu identifier formellement 106 entreprises, dont plusieurs universités, des entreprises issues de l’industrie pharmaceutique, des secteurs de l’éducation, de la recherche, de l’IT, du monde de la santé, des gouvernements… Seulement deux d’entre elles opèrent dans le domaine de l’énergie, le titre « Energetic Bear » n’était donc pas très bien choisi.

Pendant les investigations, Kaspersky Lab a monitoré 65 serveurs de contrôle dans 99 pays différents. 57% de victimes identifiées étaient sous windows XP ; Windows 7 arrive en deuxième position des OS les plus touchés. Cependant, on observe une diminution du nombre de victimes dans le temps, peut-être parce que les entreprises ont migré depuis, conclut-il.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants