Holy Water : une campagne d’attaques par « waterhole » cible un culte religieux et ses associations caritatives

0
115

Les chercheurs de Kaspersky ont découvert une campagne d’attaques « par point d’eau » (waterhole en anglais), ciblant des utilisateurs de sites web en Asie depuis mai 2019. Pas moins de dix sites web liés à un culte religieux, à ses programmes de bénévolat ou encore à ses organismes caritatifs ont été infectés de façon à déclencher de manière sélective un faux téléchargement (drive-by) aboutissant au déploiement d’une porte dérobée (backdoor) sur les ordinateurs de certains de leurs visiteurs. Les auteurs de ces attaques ont fait appel à un ensemble particulièrement créatif d’outils et d’infrastructure, comprenant notamment une distribution via GitHub et l’utilisation de codes open source.

Tribune Kaspersky – La stratégie dite du « point d’eau » ou waterhole est une attaque ciblée dans laquelle des cybercriminels infectent des sites web considérés comme un « terreau fertile », pour y trouver de potentielles victimes et implanter un malware sur leur ordinateur. L’attaque est aussi simple qu’elle peut se révéler dangereuse : il suffit à l’internaute de se rendre sur l’un de ces sites pour être exposé. Dans cette campagne baptisée « Holy Water » par les chercheurs de Kaspersky, les sites piégés appartiennent à des personnalités, des organismes publics ou caritatifs, ou à d’autres institutions publiques.

Cette attaque en plusieurs phases, réalisée au moyen d’un ensemble d’outils peu élaborés mais innovants, se distingue par la rapidité de son évolution depuis son lancement, ainsi que par la variété de l’arsenal employé. A chaque visite d’un site piégé, une ressource précédemment infectée télécharge un JavaScript malveillant obfusqué, qui collecte des informations sur le visiteur. Un serveur distant vérifie alors si le visiteur constitue une cible. Si celui-ci est validé en tant que tel, un second JavaScript charge un module supplémentaire, qui ouvre à son tour une fenêtre proposant de télécharger une mise à jour – en réalité factice – d’Adobe Flash Player.

Si le visiteur tombe dans le piège, il télécharge le programme d’installation malveillant qui installe une backdoor nommé Godlike12, offrant à l’assaillant un accès distant total à la machine infectée et lui permettant ainsi d’y modifier des fichiers, d’y collecter des données confidentielles, d’en enregistrer l’activité, etc. Une autre porte dérobée, cette fois une version modifiée d’une backdoor open source Python nommée Stitch, a également été utilisée dans le cadre de cette attaque. Celle-ci présente les fonctionnalités d’une backdoor classique, en établissant une connexion socket directe afin d’échanger des données chiffrées en AES (Advanced Encryption Standard) avec le serveur distant.

Kaspersky a récemment découvert que la fausse fenêtre de mise à jour Adobe Flash pointait en fait vers un fichier exécutable hébergé sur github.com. GitHub a désactivé ce répertoire le 14 février 2020 après son signalement par Kaspersky, rompant ainsi la chaîne d’infection de la campagne. Le répertoire est toutefois resté en ligne pendant plus de 9 mois et, grâce à l’analyse de l’historique fourni par GitHub, les chercheurs ont pu obtenir des informations exclusives sur les activités et outils des assaillants.

Cette campagne se démarque par le faible niveau de budget qu’elle requiert pour fonctionner et par son jeu d’outils qui n’est pas totalement abouti. Ce dernier a en effet connu plusieurs modifications en quelques mois afin d’implémenter des fonctionnalités intéressantes telles que l’utilisation de Google Drive comme C2. Kaspersky pense que cette attaque est probablement le produit d’une petite équipe agile.

« Le waterhole est une stratégie intéressante qui produit des résultats en attaquant de manière ciblée des groupes de personnes spécifiques. Nous n’avons pas été en mesure d’assister à ces attaques en direct et donc d’en déterminer la cible opérationnelle finale. Cependant, cette campagne démontre une fois encore la nécessité d’une confidentialité des données sur Internet. Les risques en matière de vie privée sont particulièrement élevés pour les différents groupes sociaux et les minorités qui composent notre monde, il y aura toujours des acteurs malveillants pour les prendre pour cible », commente Ivan Kwiatkowski, chercheur senior en sécurité chez Kaspersky.

Pour en savoir plus sur cette campagne de waterholing, consulter le site Securelist.com ainsi que l’infographie explicative de l’attaque ci-dessous.

Pour éviter aux entreprises et aux particuliers d’être victimes d’attaques ciblées, Kaspersky leur adresse les conseils suivants :

  • Si possible, éviter d’utiliser Adobe Flash Player. Dans le cas où cela ne serait pas possible, et qu’une mise à jour du logiciel est requise pour son utilisation, veiller à vérifier sur le site officiel d’Adobe si cette version précise nécessite une mise à jour (et veiller à la télécharger uniquement sur celui-ci), sachant que ce logiciel n’est pratiquement plus utilisé par les sites web et que le fichier téléchargé est très vraisemblablement un logiciel malveillant.
  • Utiliser un VPN afin de masquer l’adresse IP de l’appareil ainsi que sa localisation véritable, susceptibles de relier l’utilisateur à un groupe ou une organisation spécifique.
  • Adopter une solution de sécurité éprouvée offrant une protection personnelle efficace contre les menaces connues ou inconnues.
  • Faire en sorte que l’équipe du Centre opérationnel de sécurité (SOC) de l’entreprise ait accès aux informations les plus à jour en matière de veille des menaces et soit au courant des outils, techniques et tactiques, nouveaux et émergents, employés par les acteurs malveillants et autres cybercriminels.
  • Pour assurer la détection, l’investigation et la correction rapide des incidents au niveau des postes de travail, installer une solution EDR.
  • En complément de la protection essentielle des postes de travail, installer une solution de sécurité d’entreprise qui détecte les menaces avancées en amont sur le réseau.