Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sofacy/Fancy Bear s’oriente vers des cibles militaires et diplomatiques en Extrême-Orient, empiétant sur l’activité d’autres groupes de cyberespionnage

mars 2018 par Kaspersky

Les chercheurs de Kaspersky Lab ont observé que le groupe malveillant russophone
Sofacy, également connu sous le nom de APT28 ou Fancy Bear, déplace son terrain
d’action vers l’Extrême-Orient, avec un intérêt marqué pour des cibles militaires et
diplomatiques, en plus de celles traditionnellement liées à l’OTAN. Ils ont
découvert que Sofacy s’attaque parfois aux mêmes victimes que d’autres menaces,
notamment Turla (mode opératoire russophone) et Danti (mode opératoire sinophone).
Le plus intrigant est la présence de backdoors Sofacy sur un serveur précédemment
infecté par le mode opératoire anglophone dénommé Lamberts. Ce serveur appartient à
un conglomérat militaro-aéronautique situé en Chine.

Sofacy est un groupe de cyberespionnage très actif et prolifique, que les chercheurs
de Kaspersky Lab suivent depuis de nombreuses années. En février, la société a
publié un
récapitulatif<https://securelist.com/a-slice-of-2...> des
activités de Sofacy en 2017, révélant un abandon progressif des cibles liées à
l’OTAN pour d’autres se trouvant au Moyen-Orient, en Asie centrale et au-delà.
Sofacy utilise des techniques de spear-phishing, de vol d’identifiants et parfois
d’attaques de points d’eau (water holing) pour dérober des informations sensibles,
comme des identifiants de comptes, des communications et des documents. Ce groupe
est également soupçonné d’infecter diverses cibles avec des charges destructives à
destination de cibles diverses.

Les nouvelles observations montrent que Sofacy n’est pas le seul prédateur présent
dans ces régions. Cela conduit parfois une même cible à se trouver compromise par
des menaces très différentes. Dans le cas de Sofacy, les chercheurs ont relevé des
scénarios où son malware Zebrocy était en concurrence avec les clusters russophones
Mosquito Turla et où son backdoor SPLM rivalisait à la fois avec des attaques
classiques de Turla mais aussi par Danti en langue chinoise. Leurs cibles communes
étaient des administrations ou des entreprises opérant dans les secteurs des
nouvelles technologies, des sciences ou de la défense, situées en Asie centrale ou
originaires de cette région du monde.

Dans certains cas, certaines victimes étaient simultanément sujettes à des attaques
séparées provenant de Zebrocy et de son backdoor SPLM. Cependant, le plus curieux
reste sans doute la convergence entre Sofacy et les menaces anglophones Lamberts. Ce
lien a été découvert après la détection par les chercheurs de la présence de Sofacy
sur un serveur précédemment identifié comme étant infecté par le malware Grey
Lambert. Ce serveur appartient à un conglomérat industriel chinois qui conçoit et
produit des technologies pour l’aéronautique et la défense aérienne.

Toutefois et dans ce cas, le vecteur initial du backdoor SPLM pour Sofacy demeure à
ce jour inconnu. Cela soulève un certain nombre d’hypothèses, notamment la possible
exploitation par ce groupe d’une nouvelle vulnérabilité encore inconnue ou
l’utilisation d’une nouvelle fonctionnalité de son backdoor SPLM, voire que Sofacy a
également pu emprunter les canaux de communication Grey Lambert pour télécharger son
propre malware. Il est également possible que les indices désignant Sofacy soient en
réalité un false flag, implanté par Lambert lors d’un précédent passage. Les
chercheurs privilégient la réponse la plus probable étant l’utilisation d’un nouveau
script PowerShell inconnu ou encore d’une application web légitime mais vulnérable
exploitée pour le chargement et l’exécution du code SPLM dans ce cas précis. Les
recherches se poursuivent.

« Sofacy est parfois décrit comme un groupe imprévisible et téméraire mais, d’après
nos observations, il peut aussi se montrer pragmatique, mesuré et agile. Ses
activités en Orient sont largement sous-médiatisées mais ce n’est clairement pas la
seule menace à s’intéresser à cette région du monde, voire aux mêmes cibles. Alors
que le paysage des menaces ne cesse de se densifier et de se complexifier, nous
risquons de voir se multiplier les exemples de cibles communes, ce qui pourrait
expliquer pourquoi bon nombre de menaces vérifient la présence d’autres intrus dans
les systèmes ciblés avant de lancer pleinement leurs attaques », commente Kurt
Baumgartner, chercheur principal en sécurité chez Kaspersky Lab.
Les chercheurs ont également découvert que Sofacy applique désormais un
cloisonnement entre ses principaux outils, avec des clusters distincts pour le
codage, le développement et le ciblage de SPLM (alias CHOPSTICK ou Xagent),
GAMEFISH et Zebrocy. Le backdoor SPLM est considéré comme étant le principal outil
de Sofacy et le plus sélectif, tandis que Zebrocy est utilisé dans le cadre
d’attaques volumétriques. Selon les chercheurs, au début de 2018, Sofacy a ciblé
d’importants sous-traitants de la défense aérienne en Chine avec SPLM, tout en
déployant Zebrocy plus largement en Arménie, en Turquie, au Kazakhstan, au
Tadjikistan, en Afghanistan, en Mongolie, en Chine et au Japon.
Tous les produits Kaspersky Lab détectent et bloquent avec succès l’ensemble des
attaques connues de Sofacy, certaines désinfections plus complexes pouvant
nécessiter un redémarrage du système.

Kaspersky Lab recommande les mesures suivantes aux entités militaires ou
diplomatiques opérant dans les régions concernées pour leur éviter d’être victimes
d’une attaque ciblée avancée :

· Utiliser une solution de sécurité éprouvée de classe entreprise en
combinaison avec des technologies de protection contre les attaques ciblées et une
solution de veille des menaces, telle que Kaspersky Threat Management &
Defense<https://www.kaspersky.com/enterpris...> .
Celles-ci sont à même de détecter et de bloquer les attaques ciblées avancées en
analysant les anomalies sur le réseau et offrent ainsi aux équipes de cybersécurité
une visibilité complète sur le réseau et une automatisation totale de la réponse aux
menaces.

· Faire en sorte que le personnel de sécurité ait accès aux plus récentes
données de veille des menaces, afin qu’il dispose d’outils précieux pour la
recherche et la prévention des attaques ciblées, tels que les indicateurs
d’infection (IoC), les règles YARA ou encore des rapports personnalisés sur les
menaces avancées.

· En présence de signes avant-coureurs d’une attaque ciblée, envisager de
faire appel à des services de protection managés qui permettront de détecter en
amont les menaces avancées, de réduire le délai d’intervention et d’organiser une
réponse rapide aux incidents.


Voir les articles précédents

    

Voir les articles suivants