Un groupe d’espionnage identifié sous le nom de « Redfly » a piraté un réseau électrique national en Asie et a discrètement maintenu l’accès au réseau piraté pendant six mois.
Ces nouvelles découvertes proviennent de Symantec, qui a trouvé des preuves de l’activité du logiciel malveillant ShadowPad dans le réseau de l’organisation entre le 28 février et le 3 août 2023, ainsi que des enregistreurs de frappe et des lanceurs de fichiers spécialisés.
Bien que ShadowPad soit un cheval de Troie largement disponible et utilisé par plusieurs groupes APT, Symantec suit les attaques récentes séparément, signalant que Redfly semble se concentrer exclusivement sur les infrastructures nationales critiques.
La boîte à outils de Redfly
La variante ShadowPad vue dans les attaques fait passer ses composants (exe et dll) en fichiers VMware, les déposant sur le système de fichiers de la victime.
Le programme atteint également la persistance en créant à nouveau des services nommés d’après VMware, configurés pour lancer l’exécutable malveillant et la DLL au démarrage du système.
En général, ShadowPad est un RAT modulaire polyvalent qui prend en charge l’exfiltration de données vers le C2, l’enregistrement des frappes, la recherche et les opérations sur les fichiers, ainsi que l’exécution de commandes à distance.
Plusieurs APT l’utilisent car elle n’est pas associée à un seul acteur, ce qui rend l’attribution et le suivi plus difficiles pour les analystes.
Dans les attaques observées, Redfly a utilisé un outil d’enregistrement de frappe distinct qui capturait les frappes au clavier dans des fichiers journaux sur le système piraté, que les attaquants récupéraient manuellement.
Un autre outil utilisé par les pirates espions est Packerloader, utilisé pour charger et exécuter du shellcode dans des fichiers cryptés AES capables d’échapper à la détection AV.
Les attaquants ont été vus en train d’utiliser cet outil pour exécuter du code modifiant les autorisations d’un fichier de pilote, utilisé ensuite pour créer des sauvegardes d’informations d’identification dans le registre Windows (pour une récupération ultérieure) et effacer les journaux d’événements de sécurité Windows.
Redfly utilise également PowerShell pour exécuter des commandes qui les aident à recueillir des détails sur des périphériques de stockage spécifiques sur le système compromis.
Pour les mouvements latéraux, les pirates utilisent le chargement latéral de DLL et des exécutables légitimes, des tâches planifiées exécutant des binaires légitimes et des informations d’identification volées.
Redfly a également utilisé des versions renommées d’outils connus, comme ProcDump, pour supprimer les informations d’identification de LSASS, puis les utiliser pour s’authentifier sur les systèmes adjacents.
La longue période d’attente observée dans cette attaque est caractéristique des acteurs de l’espionnage qui infectent les systèmes et font profil bas pour collecter autant de renseignements que possible.
Même si l’intention des attaquants de perturber l’alimentation électrique reste incertaine, le risque potentiel constitue une menace importante.
« Les attaques contre les cibles de CNI ne sont pas sans précédent. Il y a près de dix ans, Symantec a découvert les attaques du groupe Dragonfly, parrainé par la Russie, contre le secteur de l’énergie aux États-Unis et en Europe », conclut le rapport de Symantec.
« Plus récemment, le groupe russe Sandworm a lancé des attaques contre le réseau de distribution d’électricité en Ukraine, visant à perturber l’approvisionnement en électricité. »
Une telle perturbation aurait pu entraîner des dommages considérables pour les clients du fournisseur d’énergie et de profondes répercussions économiques pour l’ensemble du pays.