Opération BugDrop : des pirates écoutent les conversations à travers les micros de PC et volent des informations
De 70 entités dans plusieurs pays

Le , par Olivier Famien, Chroniqueur Actualités
Vu les découvertes d’attaques informatiques exploitant des failles toujours nouvelles, certains pourront donner raison à ceux qui prennent des mesures peu communes pour se protéger contre les éventuelles attaques. CyberX, l’entreprise pourvoyeuse de solutions IT dans le domaine de la sécurité, vient de découvrir une campagne d’attaques menée contre au moins 70 structures dont la plupart sont basées en Ukraine et opérant dans les secteurs des médias, des infrastructures critiques et de la recherche scientifique.

Baptisées opération BugDrop par CyberX, ces attaques ont été possibles en exploitant des failles permettant de contrôler à distance le microphone des PC des cibles afin d’écouter les conversations sensibles pour finalement stocker les fichiers audio sur la plateforme de stockage en ligne Dropbox. Cette attaque nous renvoie aux conseils donnés par le directeur du FBI, James Comey, qui demandait de fermer les webcams des appareils avec du ruban adhésif afin de se prémunir contre l’espionnage. Mark Zuckerberg, le fondateur de Facebook, a adopté cette attitude et même a été déjà photographié avec des rubans sur la webcam et le microphone de son appareil. Toutefois, comme certains le font remarquer, si l’application d’un ruban adhésif sur les webcams fonctionne correctement contre l’espionnage à travers ce type de périphériques, cette action reste inefficace lorsque l’on met du scotch sur les microphones.

Revenant à l’opération BugDrop, CyberX explique qu’en plus d’écouter les conversations des personnes dialoguant dans l’environnement immédiat des terminaux, les pirates sont également parvenus à effectuer des captures d’écran, à subtiliser des documents et des mots de passe sur les systèmes ciblés.

Pour infecter les systèmes de leurs victimes, les attaquants leur envoient des emails avec en pièces jointes des documents de type Microsoft Word contenant des macros malveillantes. Selon les données collectées par CyberX, la dernière modification du document remonterait au 22 décembre 2016, avec comme nom d’auteur « Siada » et comme contenu une liste d’informations personnelles du personnel militaire. Tant que la fonctionnalité d’exécution des macros est désactivée dans le document, la victime n’a rien à craindre. Aussi, pour amener l’utilisateur à activer cette fonctionnalité, le document affiche en russe le texte suivant : « Attention ! Le fichier a été créé dans une version plus récente des programmes Microsoft Office. Vous devez activer les macros pour afficher correctement le contenu d’un document ».


Croyant que c’est un message authentique, lorsque la victime active l’exécution des macros, cela a pour effet de libérer un malware qui est exécuté à partir du répertoire temporaire. Ce dernier est conçu avec un tel niveau de sophistication (comprenant le chiffrement du code) qu’il est indétectable par la majorité des solutions d’antivirus usuelles. Sur 54 antivirus utilisés par CyberX pour tester son taux de détection, seuls 4 antivirus ont réussi à détecter la présence d’éléments malveillants.

Le dropper (application présentée comme inoffensive, mais utilisée pour télécharger un malware) contient 2 DDL qui sont extraits dans le dossier App Data et décomposés en deux parties. La première partie du malware est exécutée et le DLL est chargé en utilisant une injection DLL réflexive. Responsable de la persistance et du DLL de téléchargement du malware, cette première partie va s’enregistrer dans la base des registres avec la clé suivante : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath.

La seconde partie du malware est responsable du chargement du module principal qui lui est hébergé sur un site d’hébergement gratuit. Cela est efficace, car il n’oblige pas les pirates à fournir des informations compromettantes pour la création du serveur de commande et de contrôle (C&C). Une fois le module principal téléchargé, il est ensuite chargé dans la mémoire du système en utilisant la technique d’injection DLL réflexive. À ce jour, le système infecté déjà connu est Windows.

Après cette étape, le module principal va se charger de télécharger et exécuter divers plug-ins pour voler les données de la victime. Les données volées seront stockées dans le dossier %USERPROFILE%\AppData\Roaming\Media, puis chiffrées avant d’être envoyées sur Dropbox par le module principal. Parmi les plug-ins utilisés pour voler ces données, nous en avons de plusieurs types dont un plugin qui est chargé de récupérer les fichiers de types doc, docx, xls, xlsx, ppt, pptx, pdf, zip, rar, db, txt stockés localement ou sur les lecteurs partagés, un autre qui recherche les mêmes fichiers sur les clés USB, un autre encore qui est utilisé pour écouter les conversations audio provenant des micros, etc. Après la récupération des données chiffrées envoyées sur Dropbox par le pirate, celles-ci sont automatiquement supprimées.

En plus d’avoir été utilisé pour cibler des structures en Ukraine, BugDrop a également été localisé dans une plus petite proportion sur des cibles en Russie, en Arabie Saoudite et en Autriche. Toutefois, beaucoup plus de cibles ont été répertoriées dans les États séparatistes autoproclamés de Donetsk et de Luhansk classés comme organisations terroristes par le gouvernement ukrainien.

En analysant le volume des données collectées par jour et la sophistication du code du malware, CyberX soutient que cette opération doit avoir été montée par des hackers très habiles dotés de ressources financières très importantes. Elle va plus loin en affirmant qu’elle serait à l’aise d’affirmer qu’elle a été parrainée par un État.

Source : CyberX

Et vous ?

Que pensez-vous de ces attaques ?

Qui pensez-vous pourrait être derrière ces attaques ?

Quelles solutions pouvez-vous suggérer pour vous prémunir de l’espionnage via les micros de PC ?

Voir aussi

Le directeur du FBI recommande de fermer les webcams avec du ruban adhésif pour se prémunir contre le cyberespionnage, bonne attitude ou paranoïa ?
Trump déclare qu'« aucun ordinateur n'est sécurisé » et propose de revenir aux courriers postaux pour lutter contre le piratage des emails

La Rubrique sécurité, Forum sécurité, Cours et tutoriels sécurtité, FAQ Sécurtié


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 21/02/2017 à 19:49
Que pensez de ces attaques ?
Cyberguerre qui ne date pas d'hier.

Qui est derrière cette attaque ?
Les américains : une des agences aux trois lettres.

Comment s'en prémunir ?
Ne plus achetez de PC avec un micro : le changement d'OS n'y changerait rien = impossible aujourd'hui dans notre monde connecté.
Arrêter d'utiliser la suite Office ? Quasi impossible et en changer reviendrait du pareil au même.
Eteindre son PC avant d'entamer une conversation ? Eventuellement. Je retire même la batterie de mon smartphone en milieu sensible.
Nous contacter pour installer notre solution de sécurité mais qui est prévue pour un environnement d'entreprise et plus efficace sous linux que sous windows qui manque de souplesse.

Edit : j'ai zeappé la dimension formation de l'utilisateur volontairement étant donné que nul ne peut garantir sur 7 milliards d'individus qu'aucun ne succombera à la tentation
Ensuite le filtre de spam : lorsque le courriel vient d'une adresse de confiance... si si ça arrive chez les gens les plus sérieux : la DG par exemple.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 21/02/2017 à 23:27
il reste a parler en code

allez hop formation navajo comme pendant la guerre
Offres d'emploi IT
Développeur iOS/Swift Senior (H/F)
Voyages-sncf.com - Ile de France - La Défense
Lead Developer - Full stack
La Fabrique à Innovations - Midi Pyrénées - Toulouse (31000)
Expert JavaScript F/H
Zenika - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil