Ukraine: Campagne de spear-phishing BlackEnergy

L’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a détecté des signes d’attaques jusque-là inconnues lancées par le groupe russophone APT BlackEnergy. Un document de spear-phishing découvert par les experts de la société mentionne le parti nationaliste ukrainien d’extrême droite « Secteur droit » et paraît avoir été utilisé dans une attaque contre une chaîne de télévision très regardée en Ukraine.

BlackEnergy est une menace extrêmement dynamique et les récentes attaques en Ukraine indiquent qu’elle a pour principal objectif des actions destructrices, en plus de l’infection d’installations de contrôle industriel et du cyberespionnage. Utilisant au départ des logiciels d’attaques DDoS, BlackEnergy s’est développé pour devenir un vaste arsenal d’outils. Ceux-ci ont été employés pour diverses activités de type APT (menaces persistantes avancées), notamment des opérations géopolitiques telles qu’une vague d’attaques sur plusieurs secteurs critiques en Ukraine à la fin de 2015.

Bien que démasqué à de multiples reprises, le groupe BlackEnergy poursuit ses activités et représente un danger majeur.

Depuis la mi-2015, le groupe APT BlackEnergy utilise activement des e-mails de spear-phishing contenant des documents Excel malveillants, avec des macros destinées à infecter les ordinateurs sur un réseau ciblé. Cependant, en janvier de cette année, les chercheurs de Kaspersky Lab ont découvert un nouveau document malveillant qui infecte le système avec un cheval de Troie BlackEnergy. A la différence des documents Excel employés dans les attaques précédentes, il s’agit cette fois d’un document Microsoft Word.

À l’ouverture du document, l’utilisateur voit s’afficher une boîte de dialogue recommandant d’activer les macros pour pouvoir visualiser le contenu. L’activation des macros déclenche en fait une infection par le malware BlackEnergy.

Une fois activé sur l’ordinateur d’une victime, le malware envoie des informations de base sur la machine infectée à son serveur de commande et de contrôle (C&C). L’une des informations transmises par le programme malveillant est une suite de caractères qui semble identifier la victime. Le document analysé par les chercheurs de Kaspersky Lab contenait l’identifiant « 301018stb », dans lequel « stb » pourrait faire référence à la chaîne de télévision ukrainienne STB. Cette dernière avait précédemment été citée parmi les victimes des attaques BlackEnergy Wiper en octobre 2015.

À la suite de l’infection, des modules malveillants supplémentaires peuvent être téléchargés. Leurs fonctions peuvent varier selon la version du cheval de Troie, allant du cyberespionnage à l’effacement de données.

« Par le passé, nous avons vu le groupe BlackEnergy cibler des entités en Ukraine par le biais de documents Excel et PowerPoint. L’utilisation de documents Word était également attendue et ne fait que confirmer nos soupçons. D’une manière générale, nous observons l’utilisation croissante de documents Word comportant des macros dans le cadre d’attaques APT. Par exemple, nous avons récemment constaté l’emploi par le groupe APT Turla de documents avec des macros pour le lancement d’un type d’attaque similaire. Cela nous amène à penser que bon nombre de ces attaques sont couronnées de succès, ce qui explique leur recrudescence », commente Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab.