Slingshot : L’espion qui venait du routeur

1
120

Dans le cadre sur Security Analyst Summit, les chercheurs de Kasperky Lab ont découvert une menace avancée utilisée pour des activités de cyberespionnage au Moyen-Orient et en Afrique depuis au moins 2012. Le malware, qu’ils ont nommé « Slingshot », attaque et infecte ses victimes à travers des routeurs piratés et peut s’exécuter en mode noyau, ce qui lui donne le contrôle complet des machines ciblées. Slingshot semble avoir principalement pour objectif le cyberespionnage.

Tribune Kaspersky – Les chercheurs de Kaspersky Lab ont découvert une menace avancée utilisée pour des activités de cyberespionnage au Moyen-Orient et en Afrique, depuis au moins 2012 jusqu’en février 2018. Le malware, qu’ils ont nommé « Slingshot », attaque et infecte ses victimes à travers des routeurs piratés et peut s’exécuter en mode noyau, ce qui lui donne le contrôle complet des machines ciblées. Selon les chercheurs, bon nombre des techniques employées par cette menace sont uniques en leur genre, et la menace se montre extrêmement efficace pour collecter subrepticement des informations, en dissimulant son trafic dans des paquets de données marqués qu’elle peut intercepter dans les communications quotidiennes, et ce, sans laisser de trace.

L’opération Slingshot a été révélée après la découverte par les chercheurs d’un keylogger Les chercheurs ont alors créé une signature de détection comportementale afin de vérifier si le code malveillant apparaissait ailleurs. Ils sont ainsi parvenus à détecter un ordinateur infecté, comportant dans son dossier système un fichier suspect nommé scesrv.dll. Les chercheurs ont donc décidé d’enquêter plus avant. L’analyse de ce fichier a révélé que, bien que légitime en apparence, le module scesrv.dll contenait du code malveillant. Cette bibliothèque infectée étant chargée par « services.exe » (un processus qui dispose de privilèges système), elle bénéficiait des mêmes droits d’accès. Les chercheurs ont ainsi pris conscience qu’un intrus très avancé s’était frayé un chemin au cœur même de l’ordinateur.

L’aspect le plus remarquable de Slingshot tient probablement à son vecteur d’attaque inhabituel. A mesure que les chercheurs identifiaient d’autres victimes, ils se sont aperçus que bon nombre d’entre elles semblaient avoir été contaminées au départ par des routeurs piratés. Au cours de ces attaques, le groupe qui se cache derrière Slingshot paraît pirater des routeurs et y placer un module DLL malveillant qui sert en fait à télécharger d’autres composants du malware. Lorsqu’un administrateur se connecte au routeur pour le configurer, le logiciel de gestion du routeur télécharge et exécute le module malveillant sur sa machine. La méthode utilisée pour le piratage initial des routeurs demeure inconnue.

A la suite de l’infection, Slingshot charge un certain nombre de modules sur la machine de la victime, dont deux très volumineux et puissants : Cahnadr et GollumApp. Ces deux modules sont interconnectés et peuvent s’épauler mutuellement pour la collecte, la persistance et l’exfiltration de données.

Slingshot semble avoir principalement pour objectif le cyberespionnage. D’après les analyses, il recueille des copies d’écran, des frappes clavier, des données réseau, des mots de passe, des connexions USB et autres activités du poste, le contenu du presse-papiers, etc., son accès au noyau lui permettant de dérober tout ce qui l’intéresse.

Cette menace persistante avancée (APT) intègre également diverses techniques pour échapper à la détection, notamment le chiffrement de toutes les chaînes de caractères dans ses modules, l’appel direct de services système afin de contourner les produits de sécurité, l’utilisation de plusieurs techniques anti-débogage ou encore la sélection des processus à injecter en fonction des solutions de sécurité installées et en service.

Slingshot fonctionne sur le modèle d’une backdoor passive : elle n’a pas d’adresse de commande et de contrôle (C & C) codée en dur mais l’obtient de l’opérateur en interceptant tous les paquets réseau en mode noyau et en vérifiant s’il y a deux constantes magiques codées en dur dans l’en-tête. Si tel est le cas, cela signifie que ce paquet contient l’adresse C & C. Après cela, Slingshot établit un canal de communication crypté vers le C & C et commence à transmettre des données pour les exfiltrer hors du réseau.

Les échantillons malveillants étudiés par les chercheurs étaient marqués « version 6.x », ce qui laisse penser que cette menace existe depuis un laps de temps considérable. Il est vraisemblable qu’énormément de temps, de compétences et de moyens financiers ont été investis dans le développement de l’arsenal complexe d’outils de Slingshot. Mis bout à bout, ces indices paraissent indiquer que le groupe à l’origine de Slingshot est probablement bien organisé, très professionnel et soutenu par un Etat. D’après les textes visibles dans le code, ce groupe serait anglophone. Cependant, l’attribution des activités malveillantes est toujours difficile, sinon impossible, et de plus en plus sujette à des manipulations et à des erreurs.

A ce jour, les chercheurs ont dénombré une centaine de victimes de Slingshot et de ses modules associés, dans différents pays (Kenya, Yémen, Afghanistan, Libye, Congo, Jordanie, Turquie, Iraq, Soudan, Somalie et Tanzanie). Si la plupart des cibles semblent être des particuliers plutôt que des entreprises, certaines sont des administrations ou des institutions. Le plus important contingent de victimes observé jusqu’à présent se trouve au Kenya et au Yémen.

« Slingshot est une menace avancée, employant un vaste arsenal d’outils et de techniques, notamment des modules en mode noyau qui n’avaient été observés jusque-là que dans les prédateurs les plus évolués. Cette fonctionnalité est très précieuse et rentable pour les auteurs des attaques, ce qui pourrait expliquer pourquoi la menace est en circulation depuis au moins six ans » commente Alexey Shulmin, analyste principal en malware chez Kaspersky Lab.

Les chercheurs de Kaspersky Lab recommandent les mesures suivantes pour éviter d’être victime d’une attaque de ce type :

  • Les utilisateurs de routeurs Mikrotik doivent installer dès que possible la mise à jour la plus récente du logiciel afin d’assurer une protection contre les vulnérabilités connues. En outre, Mikrotik Winbox ne télécharge plus aucun fichier du routeur vers l’ordinateur de l’utilisateur.
  • Utiliser une solution de sécurité éprouvée de classe entreprise en combinaison avec des technologies de protection contre les attaques ciblées et une solution de veille des menaces, telle que Kaspersky Threat Management & Defense. Celles-ci sont à même de détecter et de bloquer les attaques ciblées avancées en analysant les anomalies sur le réseau et offrent ainsi aux équipes de cybersécurité une visibilité complète sur le réseau et une automatisation totale de la réponse aux menaces.
  • Faire en sorte que le personnel de sécurité ait accès aux plus récentes données de veille des menaces, afin qu’il dispose d’outils précieux pour la recherche et la prévention des attaques ciblées, tels que les indicateurs d’infection (IoC), les règles YARA ou encore des rapports personnalisés sur les menaces avancées.
  • En présence de signes avant-coureurs d’une attaque ciblée, envisager de faire appel à des services de protection managés qui permettront de détecter en amont les menaces avancées, de réduire le délai d’intervention et d’organiser une réponse rapide aux incidents.

Un rapport sur la menace persistante avancée Slingshot est disponible sur Securelist

Les commentaires sont fermés.