Archives par mot-clé : rootkit

Sednit : dissection d’un groupe de cyber espions

Les chercheurs ESET annoncent la publication d’un vaste document de recherche en 3 parties « En route with Sednit ». L’observation de l’utilisation simultanée d’un bootkit et d’un rootkit par les cybercriminels a permis d’analyser leurs cibles et méthodes.

Ce groupe aussi connu sous le nom d’APT28, Fancy Bear ou Sofacy, agit depuis 2004. Son principal objectif est le vol d’informations confidentielles de cibles spécifiques.

Partie 1 : « En route with Sednit : Approaching the Target » se concentre sur la cible des campagnes de phishing, les méthodes d’attaque utilisées ainsi que la première phase de l’attaque utilisant le malware SEDUPLOADER, composé d’un compte à rebours et d’une charge utile associée.

Partie 2 : « En route with Sednit : Observing the comings and goings » couvre les activités de Sednit depuis 2014 et détaille la boîte à outils d’espionnage utilisée pour la surveillance à long terme des ordinateurs compromis. Cela est rendu possible grâce à deux backdoor SEDRECO et XAGENT, ainsi qu’à l’outil réseau XTUNNEL.

Partie 3 : « En route with Sednit : a mysterious downloader » décrit le logiciel permettant la première phase de l’attaque DOWNDHELPH qui selon nos données de télémétrie n’aurait servi que 7 fois. A noter que certains de ces déploiements ont requis des méthodes de « persistances avancées » : Windows bootkit et Windows rootkit. « L’intérêt pour ces activités malveillantes est née de la détection d’un nombre impressionnant de logiciels personnalisés déployés par le groupe Sednit au cours des deux dernières années », déclare Alexis Dorais-Joncas, Security Intelligence team lead chez ESET et dédié à l’exploration des activités du groupe Sednit. « L’arsenal de Sednit est en constante évolution. Le groupe déploie régulièrement des logiciels et techniques de pointe, tandis que leur malware phare a également évolué de manière significative au cours des dernières années ».

Selon les chercheurs, les données collectées à partir des campagnes de phishing menées par Sednit montrent que plus de 1.000 profils d’individus hauts-placés impliqués dans la politique d’Europe de l’EST ont été attaqués. Contrairement aux autres groupes d’espionnage, le groupe Sednit a développé son propre « exploit kit » et utilisé un nombre étonnamment important d’exploits 0-day. Les activités du groupe cybercriminel de ces dernières années envers les personnalités hauts-placées, ont suscité l’intérêt de nombreux chercheurs.

Espion et webcam ? Explication

Début décembre dernier, le Washington Post faisait parler un ancien agent du FBI au sujet de l’espionnage numérique pratiqué par les services d’enquêtes étatiques de l’Oncle Sam. Le papier du journal américain indiquait que le FBI était capable de déclencher à distance la webcam intégrée à l’ordinateur d’un suspect. Une cybersurveillance « sans allumer le la diode de connexion qui indique l’état de marche de ma caméra« . Une révélation qui n’en est pas une. La pratique est connue depuis… 20 ans.

Comment est-ce possible ?

Il y a une vingtaine d’année sortait sur le web, par le biais d’un groupe de hacker nommé The Cult of the Dead Cow (Le culte de la vache morte) un logiciel d’espionnage baptisée Back Orifice. Cet « outil », que l’on nomme aujourd’hui RAT, Rootkit, permettait de prendre la main sur un ordinateur connecté et préalablement piégé par Back Orifice. Bref, un cheval de Troie. Nous sommes alors en 1998.

Si B.O. se voit, aujourd’hui, comme un gros bouton sur le nez, il utilise de base le port 31337 (elite), de très nombreux autres espiongiciels exploitent et utilisent des fonctions d’espionnages allant de la capture de votre écran (selon une durée données, ndr), enregistre le son tiré du micro connecté, de la webcam, des frappes effectuées sur le clavier, les actions de la souris. D’autres options permettent d’activer un téléchargement de certains fichiers (doc, excel, …). Les options sont plétoriques. Pour cela il faut, cependant, que la machine de la « cible » soit piégée. Qu’un « client » du rootkit soit installé dans le PC, le mac, la tablette, le téléphone de la personne à espionner.

Comment s’en protéger ?
Aujourd’hui, la majorité des ordinateurs, des téléphones portables smartphones, des tablettes sont équipés de base d’une webcam et d’un micro. Pour les activer à distance, il faut cependant piéger le matériel. Des chercheurs de l’Université Johns Hopkins ont démontré le « truc » en exploitant la webcam d’un MacBook. Sur PC/MAC, plus besoin aujourd’hui d’un Rootkit d’un trojan à la Back Orifice. Un plug-in dans un navigateur suffit. Il faut pour cela convaincre la victime de l’installer, chose, soyons très honnête, simple comme bonjour. Les fausses mises à jour Java, Flash, vidéo, … les choix pour les espions sont nombreux. Les fausses mise à jour d’application, comme les publicités piégées, peuvent aussi suffire.

Protégé sur MAC ? En 2012, le trojan FlashBack faisait ses emplettes sur la toile à partir de 550.000 machines. Sur tablettes et smartphones, le danger est encore plus grand. Les « mobiles » sont greffés à nos mains. Les téléchargements malveillants peuvent être facilités par des outils que ne maitrisent pas les utilisateurs. Selon Trend Micro, en 2014, les applications malveillantes pour Android franchiront le cap des 3 millions. Se protéger, déjà, en mettant à jour ses outils ; en ne téléchargeant pas tout et n’importe quoi. En ne gardant pas des logiciels obsolètes. Pour rappel, l’arrêt du support de logiciels répandus tels que Java 6 et Windows XP rendra des millions de PC vulnérables aux cyber-attaques l’année prochaines. 76% des entreprises sont encore sous Windows XP (9 machines sur 10 pour les machines de bureaux, et 6 sur 10 pour les portables – Spiceworks).

Connexion ou pas !
Comment un malware peut-il voler des données d’un système infecté qui n’a pas de connexion à l’Internet ? Impossible ? Des chercheurs allemands de l’Institut Fraunhofer  ont mis pourtant au point un « code » capable de transmettre des données en utilisant des sons inaudibles à l’oreille humaine. Le « Trojan » peut voler des données ou des frappes confidentielles en utilisant un haut-parleur et un microphone de base. Si la sécurité est de ne pas connecter un ordinateur aux contenus sensibles sur le web, voilà une méthode d’infiltration qui remet à plat l’idée de confidentialité. Pour s’en protéger, couper les enceintes de votre ordinateur. Si vous couplez cela au « mouchard » légal de Google qui se cache dans votre smartphone [voir], la cyber surveillance est globale.

Bref, vous l’aurez compris, la cyber surveillance par webcam, ou autres « options » de nos machines ne date pas d’hier. Et le FBI, la DCRCI, le GCQH britannique ne sont pas les plus gros utilisateurs. A moins que vous soyez un terroriste en devenir, un cybercriminel officiant dans une bande organisée, peu de risque d’être filmé, fliqué, espionné. En France, faut-il le rappeler, les policiers, gendarmes, ont la possibilité (article 57 du code de procédure pénale) d’analyser les données d’un ordinateur saisi lors d’une visite des « amis du petit déjeuner ». Avec l’accord d’un juge, depuis la loi Loppsi 2, les policiers peuvent aussi piéger l’ordinateur d’une cible.  La police judiciaire peut « mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran » explique l’article 706-102-1.

Il faut craindre, car gros consommateurs de ce genre d’outil, les escrocs du web. Ils n’ont aucune régle législative à respecter. Le FBI à le 4ème amendement ; la France, les lois, les députés, … Comme le montre ZATAZWeb.tv dans son émission du mois de juin dernier S2E6, les espions et maîtres chanteurs de l’Internet exploitent les outils d’espionnage pour rançonner toutes les personnes qui leur passent entre les mains. Avec des dégâts humains, financiers et psychologiques bien plus graves qu’un potentiel espionnage de 007.