Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

McAfee dévoile le fonctionnement d’une campagne de cyber-espionnage international

mars 2019 par McAfee

McAfee révèle que la campagne Operation Sharpshooter exposée en 2018 est en réalité bien plus complexe, étendue et longue dans le temps. McAfee Advanced Threat Research a effectué une analyse détaillée du code et des données d’un serveur, de commande et de contrôle, responsable de la gestion des opérations, des outils et des techniques derrière cette campagne mondiale de cyber espionnage. Le contenu a été fourni à McAfee à des fins d’analyse par une entité gouvernementale, qui connaît bien la recherche publiée, sur cette campagne de malware. Son étude a conduit à l’identification de multiples centres de commandement et de contrôle auparavant inconnus. Elle suggère notamment que Sharpshooter a en réalité commencé dès septembre 2017 et que la campagne a ciblé un plus grand nombre d’organisations, sur des secteurs et pays plus étendu qu’initialement révélé. L’attaque est d’ailleurs toujours en cours.

« L’analyse de McAfee Advanced Threat Research permet de mieux comprendre comment les responsables de Sharpshooter ont développé et configuré l’infrastructure de contrôle. Elle nous donne des pistes quant à la distribution du malware et aux méthodes employées pour tester furtivement les campagnes avant leur lancement », a déclaré Raj Samani, Chief Scientist McAfee. « Ces renseignements sont inestimables pour approfondir notre compréhension de l’adversaire et in fine, bâtir de meilleures défenses. »

En décembre 2018, McAfee Advanced Threat Research a découvert pour la première fois l’opération Sharpshooter, une campagne mondiale de cyber espionnage, ciblant plus de 80 organisations dans des secteurs critiques comme les télécommunications, l’énergie, le secteur public et la défense. L’analyse des nouvelles preuves a mis en évidence des similitudes frappantes entre les indicateurs techniques de ces attaques et les aspects de celles attribuées au groupe Lazarus. Cela inclut, par exemple, l’utilisation par ce dernier de versions similaires de l’implant Rising Sun remontant à 2017, et le code source de la fameuse porte dérobée Trojan Duuzer du groupe Lazarus de 2016.

« Les preuves techniques ne sont souvent pas suffisantes pour bien comprendre une cyberattaque, car elles ne fournissent pas toutes les pièces du puzzle », a déclaré Christiaan Beek, senior principal engineer and lead scientist de McAfee. « L’accès au code du serveur de commande et de contrôle de l’adversaire est une opportunité rare. Ces systèmes donnent un aperçu du fonctionnement interne de l’infrastructure des cyberattaques. Ils sont généralement saisis par les autorités et ne sont que rarement mis à la disposition des chercheurs du secteur privé. Les connaissances acquises grâce à ce code sont indispensables pour comprendre et combattre les campagnes de cyberattaques les plus importantes et les plus sophistiquées d’aujourd’hui. »

Lancées environ un an plus tôt que prévu et toujours en cours, ces attaques semblent maintenant se concentrer principalement sur les services financiers, les institutions gouvernementales et les infrastructures critiques. Les attaques récentes visent principalement l’Allemagne, la Turquie, le Royaume-Uni et les États-Unis. Les attaques précédentes ont porté sur les secteurs des télécommunications, du gouvernement et des finances, principalement aux États-Unis, en Suisse, ou encore en Israël.

Autres résultats :

• La chasse et le spear phishing. L’Opération Sharpshooter partage de multiples similitudes de conception et tactiques avec plusieurs campagnes, comme celles des faux emplois très similaire menée en 2017 que les professionnels de la cybersécurité attribuent au groupe Lazarus.

• Une connexion en Afrique. L’analyse du code du serveur de commande et de contrôle ainsi que des logs a également permis de découvrir un bloc réseau d’adresses IP provenant de la ville de Windhoek, en Namibie. Cela a conduit les analystes de McAfee Advanced Threat Research à soupçonner les acteurs derrière Sharpshooter d’avoir testé leurs implants et d’autres techniques dans cette région du monde avant de lancer leur vaste campagne d’attaques.

• Le maintien de l’accès aux actifs. Les attaquants ont utilisé une infrastructure de commande et de contrôle avec le backend de base écrit en Hypertext Preprocessor (PHP) et Active Server Pages (ASP). Le code semble être personnalisé et unique au groupe et l’analyse de McAfee révèle qu’il fait partie de leurs opérations depuis 2017.

• L’évolution de Rising Sun. Les attaquants de Sharpshooter ont utilisé un processus où divers composants malveillants intégrés à Rising Sun ont été développés indépendamment de la fonctionnalité de l’implant central. Ces composants apparaissent dans divers implants datant de 2016, ce qui indique que les attaquants ont accès à un ensemble de fonctionnalités développées à leur disposition.




Voir les articles précédents

    

Voir les articles suivants