Suite aux conclusions de la TeamT5, les chercheurs de Kaspersky ont découvert une nouvelle méthode de distribution appliquée par les opérateurs pour diffuser le malware WinDealer. Plus précisément, ils ont utilisé une attaque de type "man-on-the-side" pour lire le trafic et insérer de nouveaux messages. Le concept général d’une attaque de type "man-on-the-side" est le suivant : lorsque l’attaquant voit une demande de ressource spécifique sur le réseau (grâce à ses capacités d’interception ou à sa position stratégique sur le réseau du FAI), il essaie de répondre à la victime plus rapidement que le serveur légitime. Si l’attaquant gagne la "course", la machine cible utilisera alors les données fournies par l’attaquant au lieu des données normales. Même si les attaquants ne gagnent pas la plupart des "courses", ils peuvent réessayer jusqu’à réussir, ce qui garantit qu’ils finiront par infecter la plupart des appareils.

Après une attaque, le dispositif cible reçoit une application espionne qui peut collecter une quantité impressionnante d’informations. Les attaquants sont en mesure de visualiser et de télécharger tous les fichiers stockés sur l’appareil et d’effectuer une recherche par mots-clés sur tous les documents. En général, LuoYu cible les organisations diplomatiques étrangères établies en Chine et les membres de la communauté universitaire, ainsi que les entreprises de défense, de logistique et de télécommunications. L’acteur utilise WinDealer pour attaquer les appareils Windows.

En général, les logiciels malveillants contiennent un serveur de commande et de contrôle codé en dur à partir duquel l’opérateur malveillant contrôle l’ensemble du système. Avec des informations sur ce serveur, il est possible de bloquer l’adresse IP des machines avec lesquelles le malware interagit, neutralisant ainsi la menace. Cependant, WinDealer s’appuie sur un algorithme complexe de génération d’IP pour déterminer quelle machine contacter. Celui-ci comprend une gamme de 48 000 adresses IP, ce qui rend presque impossible pour l’opérateur de contrôler ne serait-ce qu’une petite partie de ces adresses. La seule façon d’expliquer ce comportement réseau apparemment impossible est d’imaginer que les attaquants ont des capacités d’interception importantes sur cette plage d’adresses IP et peuvent même lire les paquets réseau qui n’atteignent aucune destination.

L’attaque de type "man-on-the-side" est particulièrement dévastatrice car elle ne nécessite aucune interaction avec la cible pour aboutir à une infection réussie : le simple fait d’avoir une machine connectée à Internet suffit. En outre, les utilisateurs ne peuvent rien faire pour se protéger, à part acheminer le trafic par un autre réseau. Cela peut se faire à l’aide d’un VPN, mais celui-ci n’est pas toujours une option selon le territoire, et n’est généralement pas disponible pour les citoyens chinois.

La grande majorité des victimes de LuoYu se trouvent en Chine. Les experts de Kaspersky pensent donc que l’APT LuoYu vise principalement les victimes sinophones et les organisations liées à la Chine. Toutefois, les chercheurs de Kaspersky ont également remarqué des attaques dans d’autres pays, comme l’Allemagne, l’Autriche, les États-Unis, la République tchèque, la Russie et l’Inde.

Distribution géographique des attaques de WinDealer

"LuoYu est un acteur malveillant extrêmement sophistiqué, capable d’exploiter des fonctionnalités accessibles uniquement aux attaquants les plus matures. Nous ne pouvons que spéculer sur la façon dont ils ont pu développer de telles capacités. Les attaques de type "man-on-the-side" sont extrêmement destructrices, car la seule condition nécessaire pour attaquer un appareil est qu’il soit connecté à l’internet. Même si l’attaque échoue la première fois, les attaquants peuvent répéter le processus encore et encore jusqu’à ce qu’ils réussissent. C’est ainsi qu’ils peuvent mener des attaques d’espionnage extrêmement dangereuses et réussies sur leurs victimes, qui comprennent généralement des diplomates, des scientifiques et des employés d’autres secteurs clés. Quelle que soit la manière dont l’attaque a été menée, le seul moyen pour les victimes potentielles de se défendre est de rester extrêmement vigilant et de mettre en place des procédures de sécurité robustes, telles que des analyses antivirus régulières, l’analyse du trafic réseau sortant et une journalisation approfondie pour détecter les anomalies", commente Suguru Ishimaru, chercheur principal en sécurité au sein de l’équipe GReAT (Global Research and Analysis Team) de Kaspersky.

Pour se protéger d’une telle menace, Kaspersky recommande :
• des procédures de sécurité robustes, grâce à des analyses antivirus régulières, l’analyse du trafic réseau sortant et une journalisation étendue pour détecter les anomalies.
• de réaliser un audit de cybersécurité des réseaux et de remédier à toute faiblesse détectée sur le périmètre ou à l’intérieur du réseau.
• d’installer des solutions anti-APT et EDR, permettant des capacités de localisation et de détection des menaces, d’investigation et de réparation rapide des incidents. Fournissez à votre équipe SOC un accès aux dernières informations sur les menaces et mettez-la régulièrement à jour grâce à des formations professionnelles. Tout cela est disponible dans le cadre de Kaspersky Expert Security.
• En plus d’une protection adaptée des points de terminaison, des services dédiés peuvent aider contre des attaques de haut niveau. Le service Kaspersky Managed Detection and Response peut aider à identifier et à stopper les attaques à leurs débuts, avant que les attaquants n’atteignent leurs objectifs.
• d’être conscient des nouvelles menaces afin de garantir à votre entreprise un niveau de sécurité optimal. Le Threat Intelligence Resource Hub permet d’accéder gratuitement à des informations indépendantes, actualisées en permanence et provenant du monde entier, sur les cyberattaques et les menaces en cours.