Vu les découvertes d’attaques informatiques exploitant des failles toujours nouvelles, certains pourront donner raison à ceux qui prennent des mesures peu communes pour se protéger contre les éventuelles attaques. CyberX, l’entreprise pourvoyeuse de solutions IT dans le domaine de la sécurité, vient de découvrir une campagne d’attaques menée contre au moins 70 structures dont la plupart sont basées en Ukraine et opérant dans les secteurs des médias, des infrastructures critiques et de la recherche scientifique.
Baptisées opération BugDrop par CyberX, ces attaques ont été possibles en exploitant des failles permettant de contrôler à distance le microphone des PC des cibles afin d’écouter les conversations sensibles pour finalement stocker les fichiers audio sur la plateforme de stockage en ligne Dropbox. Cette attaque nous renvoie aux conseils donnés par le directeur du FBI, James Comey, qui demandait de fermer les webcams des appareils avec du ruban adhésif afin de se prémunir contre l’espionnage. Mark Zuckerberg, le fondateur de Facebook, a adopté cette attitude et même a été déjà photographié avec des rubans sur la webcam et le microphone de son appareil. Toutefois, comme certains le font remarquer, si l’application d’un ruban adhésif sur les webcams fonctionne correctement contre l’espionnage à travers ce type de périphériques, cette action reste inefficace lorsque l’on met du scotch sur les microphones.
Revenant à l’opération BugDrop, CyberX explique qu’en plus d’écouter les conversations des personnes dialoguant dans l’environnement immédiat des terminaux, les pirates sont également parvenus à effectuer des captures d’écran, à subtiliser des documents et des mots de passe sur les systèmes ciblés.
Pour infecter les systèmes de leurs victimes, les attaquants leur envoient des emails avec en pièces jointes des documents de type Microsoft Word contenant des macros malveillantes. Selon les données collectées par CyberX, la dernière modification du document remonterait au 22 décembre 2016, avec comme nom d’auteur « ;Siada ;» et comme contenu une liste d’informations personnelles du personnel militaire. Tant que la fonctionnalité d’exécution des macros est désactivée dans le document, la victime n’a rien à craindre. Aussi, pour amener l’utilisateur à activer cette fonctionnalité, le document affiche en russe le texte suivant : « ;Attention ;! Le fichier a été créé dans une version plus récente des programmes Microsoft Office. Vous devez activer les macros pour afficher correctement le contenu d’un document ;».
Croyant que c’est un message authentique, lorsque la victime active l’exécution des macros, cela a pour effet de libérer un malware qui est exécuté à partir du répertoire temporaire. Ce dernier est conçu avec un tel niveau de sophistication (comprenant le chiffrement du code) qu’il est indétectable par la majorité des solutions d’antivirus usuelles. Sur 54 antivirus utilisés par CyberX pour tester son taux de détection, seuls 4 antivirus ont réussi à détecter la présence d’éléments malveillants.
Le dropper (application présentée comme inoffensive, mais utilisée pour télécharger un malware) contient 2 DDL qui sont extraits dans le dossier App Data et décomposés en deux parties. La première partie du malware est exécutée et le DLL est chargé en utilisant une injection DLL réflexive. Responsable de la persistance et du DLL de téléchargement du malware, cette première partie va s’enregistrer dans la base des registres avec la clé suivante : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath.
La seconde partie du malware est responsable du chargement du module principal qui lui est hébergé sur un site d’hébergement gratuit. Cela est efficace, car il n’oblige pas les pirates à fournir des informations compromettantes pour la création du serveur de commande et de contrôle (C&C). Une fois le module principal téléchargé, il est ensuite chargé dans la mémoire du système en utilisant la technique d’injection DLL réflexive. À ce jour, le système infecté déjà connu est Windows.
Après cette étape, le module principal va se charger de télécharger et exécuter divers plug-ins pour voler les données de la victime. Les données volées seront stockées dans le dossier %USERPROFILE%\AppData\Roaming\Media, puis chiffrées avant d’être envoyées sur Dropbox par le module principal. Parmi les plug-ins utilisés pour voler ces données, nous en avons de plusieurs types dont un plugin qui est chargé de récupérer les fichiers de types doc, docx, xls, xlsx, ppt, pptx, pdf, zip, rar, db, txt stockés localement ou sur les lecteurs partagés, un autre qui recherche les mêmes fichiers sur les clés USB, un autre encore qui est utilisé pour écouter les conversations audio provenant des micros, etc. Après la récupération des données chiffrées envoyées sur Dropbox par le pirate, celles-ci sont automatiquement supprimées.
En plus d’avoir été utilisé pour cibler des structures en Ukraine, BugDrop a également été localisé dans une plus petite proportion sur des cibles en Russie, en Arabie Saoudite et en Autriche. Toutefois, beaucoup plus de cibles ont été répertoriées dans les États séparatistes autoproclamés de Donetsk et de Luhansk classés comme organisations terroristes par le gouvernement ukrainien.
En analysant le volume des données collectées par jour et la sophistication du code du malware, CyberX soutient que cette opération doit avoir été montée par des hackers très habiles dotés de ressources financières très importantes. Elle va plus loin en affirmant qu’elle serait à l’aise d’affirmer qu’elle a été parrainée par un État.
Source : CyberX
Et vous ?
Que pensez-vous de ces attaques ;?
Qui pensez-vous pourrait être derrière ces attaques ;?
Quelles solutions pouvez-vous suggérer pour vous prémunir de l’espionnage via les micros de PC ;?
Voir aussi
Le directeur du FBI recommande de fermer les webcams avec du ruban adhésif pour se prémunir contre le cyberespionnage, bonne attitude ou paranoïa ?
Trump déclare qu'« aucun ordinateur n'est sécurisé » et propose de revenir aux courriers postaux pour lutter contre le piratage des emails
La Rubrique sécurité, Forum sécurité, Cours et tutoriels sécurtité, FAQ Sécurtié
Opération BugDrop : des pirates écoutent les conversations à travers les micros de PC et volent des informations
De 70 entités dans plusieurs pays
Opération BugDrop : des pirates écoutent les conversations à travers les micros de PC et volent des informations
De 70 entités dans plusieurs pays
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !