Les pirates informatiques parrainés par l’État chinois ciblent les organisations industrielles avec de nouveaux logiciels malveillants capables de voler des données à partir de systèmes isolés.
Les systèmes isolés remplissent généralement des rôles critiques et sont isolés du réseau de l’entreprise et de l’Internet public, soit physiquement, soit via des logiciels et des périphériques réseau.
Des chercheurs de la société de cybersécurité Kaspersky ont découvert le nouveau malware et l’ont attribué au groupe de cyberespionnage APT31, alias Zirconium.
Selon les résultats, les pirates ont utilisé au moins 15 implants distincts lors d’attaques en Europe de l’Est, chacun pour une étape distincte de l’opération, ainsi que leur famille de logiciels malveillants « FourteenHi ».
Attaques en plusieurs étapes
Kaspesky dit que les attaques ont commencé en avril de l’année dernière et ont impliqué trois étapes distinctes. Les implants de la phase initiale ont établi la persistance et l’accès à distance aux systèmes compromis et ont collecté des données utiles pour la reconnaissance.
Dans la deuxième étape, APT31 dépose des logiciels malveillants plus spécialisés qui peuvent voler des données à partir de systèmes isolés (à vide) en utilisant la propagation USB.
Enfin, dans la troisième étape de l’attaque, les pirates utilisent des implants capables de télécharger les données collectées sur leurs serveurs de commande et de contrôle (C2).
Le logiciel malveillant qui cible les systèmes isolés se compose de quatre modules décrits ci-dessous.
- Premier module : Profils des lecteurs amovibles connectés au système, collecte des fichiers, capture des captures d’écran et des titres de fenêtre, et dépose des charges utiles supplémentaires sur l’appareil infecté.
- Deuxième module : infecte les lecteurs amovibles en copiant un exécutable McAfee légitime qui est vulnérable au piratage de DLL et une charge utile de DLL malveillante dans le répertoire racine de l’appareil, et les définit comme « cachés ». L’outil crée également un fichier leurre LNK qui déclenche l’infection si la victime le lance.
- Troisième module : exécute un script batch pour collecter les données de l’appareil et enregistrer la sortie dans le dossier « $RECYCLE.BIN », à partir duquel le premier module les collectera.
- Quatrième module : variante du premier module vu dans certaines attaques, agit comme un dropper de charge utile, un enregistreur de frappe, un outil de capture d’écran et un voleur de fichiers.
En mai 2022, Kaspersky a remarqué un implant supplémentaire utilisé dans les attaques APT31, conçu pour collecter des fichiers locaux à partir de systèmes piratés.
Cet implant décrypte et injecte sa charge utile dans la mémoire d’un processus légitime pour échapper à la détection des logiciels malveillants, puis dort pendant 10 minutes et finit par copier tous les fichiers qui correspondent aux extensions de type de fichier définies dans sa configuration.
Les fichiers volés sont archivés à l’aide de WinRAR (s’ils ne sont pas disponibles, le logiciel malveillant se ferme), puis stockés dans des dossiers locaux temporaires créés par le logiciel malveillant sous « C:\ProgramData\NetWorks. » Au final, les archives sont exfiltrées vers Dropbox.
Kaspersky souligne que les attaques étaient furtives et a répertorié les tactiques, techniques et procédures (TTP) suivantes : détournement d’ordre DLL pour charger des charges utiles malveillantes en mémoire et masquer les charges utiles sous forme cryptée dans des fichiers de données binaires séparés.
La société fournit un rapport technique qui comprend des données supplémentaires telles que les hachages de logiciels malveillants, un ensemble complet d’indicateurs de compromission et des détails sur l’activité du logiciel malveillant du début à la fin.
Les systèmes isolés sont une cible attrayante pour les groupes APT, qui se tournent généralement vers les clés USB pour diffuser des logiciels malveillants et exfiltrer les données de l’environnement isolé.