Un e-mail contenant des logiciels malveillants qui a usurpé les salutations de la Maison Blanche a siphonné des gigaoctets de documents sensibles de dizaines de victimes pendant les vacances, y compris un certain nombre d’employés du gouvernement et de sous-traitants qui travaillent sur des questions de cybersécurité.
L’attaque semble être la dernière salve des gangs de logiciels malveillants ZeuS dont activités au cours de l’année écoulée ont brouillé les frontières entre la criminalité financière en ligne et l’espionnage, en volant à la fois des données financières et des documents sur les machines des victimes. Cette activité est inhabituelle car la plupart des criminels utilisant ZeuS sont intéressés par des activités lucratives – telles que le balayage de mots de passe et la création de botnets – alors que l’aspiration de documents gouvernementaux sensibles est une activité généralement associée à ce que l’on appelle menace persistante avancée attaques, ou ceux déployés pour recueillir des renseignements industriels et militaires.
Le 23 décembre, le message suivant a été envoyé à un nombre inconnu de destinataires ;
« Alors que vous et vos familles vous réunissez pour célébrer les vacances, nous voulions prendre
un moment pour vous envoyer nos salutations. Soyez sûr que nous sommes profondément reconnaissants
pour votre dévouement au devoir et je vous souhaite inspiration et succès dans
l’accomplissement de notre mission principale.
Carte de voeux:
hxxp://xtremedefenceforce.com/[omitted]
hxxp://elvis.com.au/[omitted]
Joyeux Noël!
___________________________________________
Bureau exécutif du président des États-Unis
La maison Blanche
1600 Pennsylvania Avenue NW
Washington, DC 20500
Les destinataires qui ont cliqué sur l’un des liens ci-dessus et ouvert le fichier proposé ont été infectés par une variante du cheval de Troie ZeuS qui vole des mots de passe et des documents et les télécharge sur un serveur en Biélorussie. J’ai pu analyser les documents pris lors de cette attaque, qui a aspiré plus de 2 gigaoctets de PDF, Microsoft Word et Exceller documents de dizaines de victimes. Je suis raisonnablement sûr d’avoir identifié plusieurs victimes, qui semblent toutes être des employés d’un gouvernement ou d’un autre. Parmi ceux qui sont tombés dans le piège de l’e-mail frauduleux, il y avait :
-Un employé du Bureau de la cyberinfrastructure de la National Science Foundation. Les documents recueillis auprès de cette victime comprennent des centaines de demandes de subvention de la NSF pour de nouvelles technologies et approches scientifiques.
-Un analyste du renseignement en Police d’État du Massachusetts a renoncé à des dizaines de documents qui semblent être des enregistrements d’interceptions de téléphones portables ordonnées par le tribunal. Plusieurs documents inclus dans la cache indiquent que la victime a peut-être récemment reçu une autorisation top-secrète. Parmi la cache de documents de cette personne se trouve une fiche de conseils du Département de la sécurité intérieure intitulée « Protection des informations sur la sécurité nationale ».
-Un employé non identifié au Groupe d’action financièreun organisme intergouvernemental voué à l’élaboration et à la promotion de politiques nationales et internationales de lutte contre le blanchiment d’argent et le financement du terrorisme.
-Un fonctionnaire du gouvernement marocain Ministère de l’Industrie, du Commerce et des Nouvelles Technologies.
-Un employé du Société du défi du millénaireune agence fédérale créée pour fournir une aide étrangère à des projets de développement dans 15 pays d’Afrique, d’Amérique centrale et d’autres régions.
Le composant le plus intéressant de cette attaque n’était pas la variante ZeuS, qui, selon la plupart des témoignages, était une version plus ancienne et bien comprise du cheval de Troie bancaire. Les chercheurs se concentrent plutôt sur le composant responsable du vol de documents, ce qui suggère le travail manuel d’un novice qui était assez actif en 2010.
Une capture d’écran d’un document volé.
Comme l’a noté blogueuse sécurité Mila Parkour, le fichier « pack.exe » téléchargé par le cheval de Troie est un script Perl converti en un fichier exécutable au moyen d’une application commerciale appelée Perl2exe. Le programme pack est celui qui est chargé de capturer les documents sur l’ordinateur d’une victime et de relayer les données vers un référentiel de fichiers en Biélorussie.
Alex Coxanalyste de recherche principal chez NetWitness, une société de sécurité basée à Herndon, en Virginie, a déclaré que l’attaque présente des similitudes remarquables avec le botnet ZeuS « Hilary Kneber » découvert par NetWitness en février dernier. Ce Découverte (PDF) a reçu une couverture inhabituelle de la part des médias grand public, en partie parce que NetWitness a déclaré que les attaquants avaient infecté quelque 75 000 PC sur un large éventail de réseaux gouvernementaux et du secteur privé.
À l’époque, NetWitness a déclaré que les victimes faisaient toutes partie du même botnet car les sites Web utilisés pour les contrôler étaient tous enregistrés auprès du même [email protected] adresse e-mail. Mais il s’avère que le point d’infrastructure le plus révélateur parmi les victimes était ce composant Perl2Exe, que Cox dit que la société n’a intentionnellement pas mentionné dans son article largement cité sur le botnet Kneber.
« Nous n’en avons pas parlé à l’époque parce que c’était quelque peu sensible à l’époque », a déclaré Cox. « Un aspect de toute cette série était ce harponnage du gouvernement qui impliquait également tous ces domaines Hilary Kneber. À l’époque, nous pensions qu’ils étaient tous connectés, mais avec le recul, je pense que ce qui était plus probable, c’est que c’était quelqu’un qui vendait en masse un tas de domaines préenregistrés dans le métro. Nous avons continué à voir Hilary Kneber s’adresser de temps à autre à des attaques tout au long de l’année dernière, mais cette connexion – où le [modus operandi] est similaire sans l’adresse Kneber – est plutôt intéressant. Cela me dit que le même gars qui était impliqué en février le fait toujours. C’est soit le même type, soit quelqu’un utilise exactement la même technique que ce type.
Mise à jour, 4 janvier, 9h23 : NetWitness a publié son propre article sur cette attaque, disponible ici.