ironman
21/10/2016, 19h08
http://img.bfmtv.com/c/1256/708/934/1cbaa5c0af580234fe5c41ac68dce.jpg
Des chercheurs en sécurité d’Eset ont analysé les outils de l’un des groupes de pirates les plus dangereux de la planète. A savoir APT 28, alias Sofacy ou Fancy Bear.
Ils ont piraté le Parti démocrate américain (http://hightech.bfmtv.com/securite/presidentielle-us-des-hackers-russes-ont-ils-pirate-les-democrates-pour-aider-trump-1019358.html) et l'Agence mondiale antidopage (http://hightech.bfmtv.com/securite/qui-sont-les-hackers-russes-qui-ont-pirate-l-agence-mondiale-antidopage-1037073.html). Et auparavant, ils se sont infiltrés dans le Parlement allemand et ont saboté la chaîne TV 5 Monde (http://www.01net.com/actualites/comment-les-hackers-du-gouvernement-russe-espionnent-l-europe-629549.html). Ils sont connus sous le nom d'APT 28, alias Sofacy ou Fancy Bear. Mais comment font-ils? L'éditeur Eset a mené l'enquête pour avoir une vue d’ensemble sur les techniques utilisées depuis 2014 par ce redoutable groupe de hackers qu'il désigne sous le nom de « Sednik ». Il vient de publier une partie de ses résultats dans un premier rappor (http://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf)t qui se concentre sur les vecteurs d’infection et les cibles de ces pirates. Deux autres rapports seront publiés ultérieurement, le 25 et 27 octobre.
http://img.bfmtv.com/c/900/459/ade/7758c7edd5470bfb93adafd910af6.jpgEset -Dans ce premier rapport, on apprend ainsi que Sednik a ciblé plus d’un millier de personnes ayant des rôles clés dans des organisations gouvernementales, diplomatiques, journalistiques ou politiques. L’éditeur a découvert des attaques vers des ambassades d’au moins 16 pays, comme l’Algérie, l’Inde ou le Liban. Le groupe a également ciblé les ministères de la défense de l’Ukraine, d’Argentine, du Bangladesh, de la Turquie et de la Corée du nord. Il a également pris en ligne de mire des membres de l’OTAN, des dissidents russes, des journalistes d’Europe de l’est, des chercheurs invités par des universités russes et des organisations tchétchènes.
Le rapport souligne que Sednik a utilisé en 2015 pas moins de 6 failles zero-day pour toutes ces attaques. Il bénéficie donc d’un support technique et financier important. Les techniques de codage sont également très sophistiquées. Tout ceci conforte l’idée qu’il s’agit bien d’un groupe de hackers à la solde d’un gouvernement. Compte tenu des cibles et des heures de compilation, il est très probable que le donneur d'ordre siège... au Kremlin.
Pour piéger tout ce beau monde, Sednik s’appuie sur deux techniques bien connues : les pièces jointes piégées et les sites web piégés. Dans le premier cas, la victime reçoit un email sous une fausse identité, avec à la clé un document Word, Excel ou PDF. En cliquant, il installe directement un malware. Cette infection s’appuie généralement sur l’exploitation de failles de sécurité dans les logiciels concernés.
Calcul d’empreinte
La deuxième méthode est plus complexe et s’appuie sur Sedkit, un kit d’exploitation créé sur mesure. Dans ce cas, les victimes reçoivent un faux e-mail avec un lien qui semble appartenir à un domaine bien connu, généralement un site d’information. En réalité, l’URL est légèrement différente et pointe vers un serveur web contrôlé par les pirates (exemple : reuters-press.com au lieu de reuters.com). Si la victime a le malheur de cliquer, le serveur va immédiatement collecter tout un tas d’informations sur la machine : zone horaire, type de navigateur, plugin installés, type d’écran… L’idée est de créer une empreinte permettant d’identifier l’utilisateur, comme le font par exemple les publicitaires.
En fonction de cette empreinte, le serveur décide alors d’infecter ou non la machine de l’internaute. Le cas échéant, il exploitera pour cela une faille dans Adobe Flash, Internet Explorer, Firefox, Java ou MacKeeper (pour les Macs).
http://img.bfmtv.com/c/900/220/77f/35b78d1b88376e34e444f73e3a5d6.jpgEset -Quel que soit la méthode utilisée - e-mails ou site web piégés - le malware est installé de manière persistante sur la machine. Il va analyser la connexion Internet pour trouver un moyen de contacter les serveurs de commande et contrôle. S’il détecte la présence de logiciels de sécurité ou de pare-feux, le logiciel malveillant adopte une méthode particulièrement furtive : il injecte du code directement dans les processus du navigateur utilisé par l’internaute. En cas de réussite, il télécharge et installe alors le malware final, généralement un logiciel d’espionnage.
Ce n'est pas le première fois que des chercheurs se penchent sur ce groupe de hackers. Il a été analysé notamment en octobre 2014 par FireEye (https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html) et en janvier 2016 par les chercheurs de Bitdefender (http://www.bitdefender.fr/actualite/lanalyse-dapt28-par-les-experts-de-bitdefender-devoile-la-strategie-et-les-auteurs-de-ce-malware-3099.html).
Des chercheurs en sécurité d’Eset ont analysé les outils de l’un des groupes de pirates les plus dangereux de la planète. A savoir APT 28, alias Sofacy ou Fancy Bear.
Ils ont piraté le Parti démocrate américain (http://hightech.bfmtv.com/securite/presidentielle-us-des-hackers-russes-ont-ils-pirate-les-democrates-pour-aider-trump-1019358.html) et l'Agence mondiale antidopage (http://hightech.bfmtv.com/securite/qui-sont-les-hackers-russes-qui-ont-pirate-l-agence-mondiale-antidopage-1037073.html). Et auparavant, ils se sont infiltrés dans le Parlement allemand et ont saboté la chaîne TV 5 Monde (http://www.01net.com/actualites/comment-les-hackers-du-gouvernement-russe-espionnent-l-europe-629549.html). Ils sont connus sous le nom d'APT 28, alias Sofacy ou Fancy Bear. Mais comment font-ils? L'éditeur Eset a mené l'enquête pour avoir une vue d’ensemble sur les techniques utilisées depuis 2014 par ce redoutable groupe de hackers qu'il désigne sous le nom de « Sednik ». Il vient de publier une partie de ses résultats dans un premier rappor (http://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf)t qui se concentre sur les vecteurs d’infection et les cibles de ces pirates. Deux autres rapports seront publiés ultérieurement, le 25 et 27 octobre.
http://img.bfmtv.com/c/900/459/ade/7758c7edd5470bfb93adafd910af6.jpgEset -Dans ce premier rapport, on apprend ainsi que Sednik a ciblé plus d’un millier de personnes ayant des rôles clés dans des organisations gouvernementales, diplomatiques, journalistiques ou politiques. L’éditeur a découvert des attaques vers des ambassades d’au moins 16 pays, comme l’Algérie, l’Inde ou le Liban. Le groupe a également ciblé les ministères de la défense de l’Ukraine, d’Argentine, du Bangladesh, de la Turquie et de la Corée du nord. Il a également pris en ligne de mire des membres de l’OTAN, des dissidents russes, des journalistes d’Europe de l’est, des chercheurs invités par des universités russes et des organisations tchétchènes.
Le rapport souligne que Sednik a utilisé en 2015 pas moins de 6 failles zero-day pour toutes ces attaques. Il bénéficie donc d’un support technique et financier important. Les techniques de codage sont également très sophistiquées. Tout ceci conforte l’idée qu’il s’agit bien d’un groupe de hackers à la solde d’un gouvernement. Compte tenu des cibles et des heures de compilation, il est très probable que le donneur d'ordre siège... au Kremlin.
Pour piéger tout ce beau monde, Sednik s’appuie sur deux techniques bien connues : les pièces jointes piégées et les sites web piégés. Dans le premier cas, la victime reçoit un email sous une fausse identité, avec à la clé un document Word, Excel ou PDF. En cliquant, il installe directement un malware. Cette infection s’appuie généralement sur l’exploitation de failles de sécurité dans les logiciels concernés.
Calcul d’empreinte
La deuxième méthode est plus complexe et s’appuie sur Sedkit, un kit d’exploitation créé sur mesure. Dans ce cas, les victimes reçoivent un faux e-mail avec un lien qui semble appartenir à un domaine bien connu, généralement un site d’information. En réalité, l’URL est légèrement différente et pointe vers un serveur web contrôlé par les pirates (exemple : reuters-press.com au lieu de reuters.com). Si la victime a le malheur de cliquer, le serveur va immédiatement collecter tout un tas d’informations sur la machine : zone horaire, type de navigateur, plugin installés, type d’écran… L’idée est de créer une empreinte permettant d’identifier l’utilisateur, comme le font par exemple les publicitaires.
En fonction de cette empreinte, le serveur décide alors d’infecter ou non la machine de l’internaute. Le cas échéant, il exploitera pour cela une faille dans Adobe Flash, Internet Explorer, Firefox, Java ou MacKeeper (pour les Macs).
http://img.bfmtv.com/c/900/220/77f/35b78d1b88376e34e444f73e3a5d6.jpgEset -Quel que soit la méthode utilisée - e-mails ou site web piégés - le malware est installé de manière persistante sur la machine. Il va analyser la connexion Internet pour trouver un moyen de contacter les serveurs de commande et contrôle. S’il détecte la présence de logiciels de sécurité ou de pare-feux, le logiciel malveillant adopte une méthode particulièrement furtive : il injecte du code directement dans les processus du navigateur utilisé par l’internaute. En cas de réussite, il télécharge et installe alors le malware final, généralement un logiciel d’espionnage.
Ce n'est pas le première fois que des chercheurs se penchent sur ce groupe de hackers. Il a été analysé notamment en octobre 2014 par FireEye (https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html) et en janvier 2016 par les chercheurs de Bitdefender (http://www.bitdefender.fr/actualite/lanalyse-dapt28-par-les-experts-de-bitdefender-devoile-la-strategie-et-les-auteurs-de-ce-malware-3099.html).