Sofacy/Fancy Bear s’oriente vers des cibles militaires et diplomatiques en Extrême-Orient

0
104

Les chercheurs de Kaspersky Lab ont observé que le groupe malveillant russophone Sofacy, également connu sous le nom de APT28 ou Fancy Bear, déplace son terrain d’action vers l’Extrême-Orient, avec un intérêt marqué pour des cibles militaires et diplomatiques, en plus de celles traditionnellement liées à l’OTAN. Ils ont découvert que Sofacy s’attaque parfois aux mêmes victimes que d’autres menaces, notamment Turla (mode opératoire russophone) et Danti (mode opératoire sinophone). Le plus intrigant est la présence de backdoors Sofacy sur un serveur précédemment infecté par le mode opératoire anglophone dénommé Lamberts. Ce serveur appartient à un conglomérat militaro-aéronautique situé en Chine.

Tribune Kaspersky – Sofacy est un groupe de cyberespionnage très actif et prolifique, que les chercheurs de Kaspersky Lab suivent depuis de nombreuses années. En février, la société a publié un récapitulatif des activités de Sofacy en 2017, révélant un abandon progressif des cibles liées à l’OTAN pour d’autres se trouvant au Moyen-Orient, en Asie centrale et au-delà. Sofacy utilise des techniques de spear-phishing, de vol d’identifiants et parfois d’attaques de points d’eau (water holing) pour dérober des informations sensibles, comme des identifiants de comptes, des communications et des documents. Ce groupe est également soupçonné d’infecter diverses cibles avec des charges destructives à destination de cibles diverses.

Les nouvelles observations montrent que Sofacy n’est pas le seul prédateur présent dans ces régions. Cela conduit parfois une même cible à se trouver compromise par des menaces très différentes. Dans le cas de Sofacy, les chercheurs ont relevé des scénarios où son malware Zebrocy était en concurrence avec les clusters russophones Mosquito Turla et où son backdoor SPLM rivalisait à la fois avec des attaques classiques de Turla mais aussi par Danti en langue chinoise. Leurs cibles communes étaient des administrations ou des entreprises opérant dans les secteurs des nouvelles technologies, des sciences ou de la défense, situées en Asie centrale ou originaires de cette région du monde.

Dans certains cas, certaines victimes étaient simultanément sujettes à des attaques séparées provenant de Zebrocy et de son backdoor SPLM. Cependant, le plus curieux reste sans doute la convergence entre Sofacy et les menaces anglophones Lamberts. Ce lien a été découvert après la détection par les chercheurs de la présence de Sofacy sur un serveur précédemment identifié comme étant infecté par le malware Grey Lambert. Ce serveur appartient à un conglomérat industriel chinois qui conçoit et produit des technologies pour l’aéronautique et la défense aérienne.

Toutefois et dans ce cas, le vecteur initial du backdoor SPLM pour Sofacy  demeure à ce jour inconnu. Cela soulève un certain nombre d’hypothèses, notamment la possible exploitation par ce groupe d’une nouvelle vulnérabilité encore inconnue ou l’utilisation d’une nouvelle fonctionnalité de son backdoor SPLM, voire que Sofacy a également pu emprunter les canaux de communication Grey Lambert pour télécharger son propre malware. Il est également possible que les indices désignant Sofacy soient en réalité un false flag, implanté par Lambert lors d’un précédent passage. Les chercheurs privilégient la réponse la plus probable étant l’utilisation d’un nouveau script PowerShell inconnu ou encore d’une application web légitime mais vulnérable exploitée pour le chargement et l’exécution du code SPLM dans ce cas précis. Les recherches se poursuivent.

« Sofacy est parfois décrit comme un groupe imprévisible et téméraire mais, d’après nos observations, il peut aussi se montrer pragmatique, mesuré et agile. Ses activités en Orient sont largement sous-médiatisées mais ce n’est clairement pas la seule menace à s’intéresser à cette région du monde, voire aux mêmes cibles. Alors que le paysage des menaces ne cesse de se densifier et de se complexifier, nous risquons de voir se multiplier les exemples de cibles communes, ce qui pourrait expliquer pourquoi bon nombre de menaces vérifient la présence d’autres intrus dans les systèmes ciblés avant de lancer pleinement leurs attaques », commente Kurt Baumgartner, chercheur principal en sécurité chez Kaspersky Lab.

Les chercheurs ont également découvert que Sofacy applique désormais un cloisonnement entre ses principaux outils, avec des clusters distincts pour le codage, le développement et le ciblage  de SPLM (alias CHOPSTICK ou Xagent), GAMEFISH et Zebrocy. Le backdoor SPLM est considéré comme étant le principal outil de Sofacy et le plus sélectif, tandis que Zebrocy est utilisé dans le cadre d’attaques volumétriques. Selon les chercheurs, au début de 2018, Sofacy a ciblé d’importants sous-traitants de la défense aérienne en Chine avec SPLM, tout en déployant Zebrocy plus largement en Arménie, en Turquie, au Kazakhstan, au Tadjikistan, en Afghanistan, en Mongolie, en Chine et au Japon.

Kaspersky Lab recommande les mesures suivantes aux entités militaires ou diplomatiques opérant dans les régions concernées pour leur éviter d’être victimes d’une attaque ciblée avancée :

  • Utiliser une solution de sécurité éprouvée de classe entreprise en combinaison avec des technologies de protection contre les attaques ciblées et une solution de veille des menaces, telle que Kaspersky Threat Management & Defense. Celles-ci sont à même de détecter et de bloquer les attaques ciblées avancées en analysant les anomalies sur le réseau et offrent ainsi aux équipes de cybersécurité une visibilité complète sur le réseau et une automatisation totale de la réponse aux menaces.
  • Faire en sorte que le personnel de sécurité ait accès aux plus récentes données de veille des menaces, afin qu’il dispose d’outils précieux pour la recherche et la prévention des attaques ciblées, tels que les indicateurs d’infection (IoC), les règles YARA ou encore des rapports personnalisés sur les menaces avancées.
  • En présence de signes avant-coureurs d’une attaque ciblée, envisager de faire appel à des services de protection managés qui permettront de détecter en amont les menaces avancées, de réduire le délai d’intervention et d’organiser une réponse rapide aux incidents.

Plus de détails sur l’activité de Sofacy en 2018 ainsi que des informations techniques sur l’évolution de ses outils sont disponibles sur Securelist.