Ce n’est pas le genre de découverte de sécurité qui se produit souvent. Un groupe de pirates jusque-là inconnu a utilisé une nouvelle porte dérobée, un savoir-faire de premier ordre et une ingénierie logicielle pour créer un botnet d’espionnage qui était largement invisible dans de nombreux réseaux de victimes.
Le groupe, que la société de sécurité Mandiant appelle UNC3524, a passé les 18 derniers mois à fouiller les réseaux des victimes avec une furtivité inhabituelle. Dans les cas où le groupe est éjecté, il ne perd pas de temps à réinfecter l’environnement de la victime et à reprendre là où les choses se sont arrêtées. Il existe de nombreuses clés de sa furtivité, notamment:
- L’utilisation d’une porte dérobée unique Mandiant appelle Quietexit, qui s’exécute sur des équilibreurs de charge, des contrôleurs de point d’accès sans fil et d’autres types d’appareils IoT qui ne prennent pas en charge l’antivirus ou la détection des terminaux. Cela rend difficile la détection par les moyens traditionnels.
- Des versions personnalisées de la porte dérobée qui utilisent des noms de fichiers et des dates de création similaires aux fichiers légitimes utilisés sur un appareil infecté spécifique.
- Une approche hors du terrain qui favorise les interfaces et outils de programmation Windows courants par rapport au code personnalisé dans le but de laisser une empreinte aussi légère que possible.
- Une manière inhabituelle de connecter une porte dérobée de deuxième étape à une infrastructure contrôlée par un attaquant en agissant essentiellement comme un serveur crypté TLS qui transmet les données via le protocole SOCKS.
Un fétichisme tunnel avec SOCKS
Dans un article, les chercheurs de Mandiant Doug Bienstock, Melissa Derr, Josh Madeley, Tyler McLellan et Chris Gardner ont écrit :
Tout au long de leurs opérations, l’auteur de la menace a fait preuve d’une sécurité opérationnelle sophistiquée que seul un petit nombre d’acteurs de la menace font preuve. L’auteur de la menace a échappé à la détection en opérant à partir d’appareils situés dans les angles morts de l’environnement de la victime, y compris des serveurs exécutant des versions peu courantes de Linux et des appareils réseau exécutant des systèmes d’exploitation opaques. Ces appareils et appliances exécutaient des versions de systèmes d’exploitation qui n’étaient pas prises en charge par les outils de sécurité basés sur des agents, et avaient souvent un niveau de trafic réseau attendu qui permettait aux attaquants de se fondre. L’utilisation par l’acteur de la menace du tunnelier QUIETEXIT leur a permis de vivre en grande partie hors du terrain, sans qu’il soit nécessaire d’apporter des outils supplémentaires, ce qui réduit encore les possibilités de détection. Cela a permis à l’UNC3524 de rester non détecté dans les environnements des victimes pendant, dans certains cas, plus de 18 mois.
Le tunnel SOCKS a permis aux pirates de connecter efficacement leurs serveurs de contrôle au réseau d’une victime où ils pouvaient ensuite exécuter des outils sans laisser de traces sur l’un des ordinateurs des victimes.
Une porte dérobée secondaire offrait un autre moyen d’accès aux réseaux infectés. Il était basé sur une version du shell Web reGeorg légitime qui avait été fortement obscurci pour rendre la détection plus difficile. L’auteur de la menace l’a utilisé au cas où la porte dérobée principale cesserait de fonctionner. Les chercheurs ont expliqué :
Une fois dans l’environnement de la victime, l’auteur de la menace a passé du temps à identifier les serveurs Web dans l’environnement de la victime et à s’assurer qu’il en avait trouvé un qui était accessible sur Internet avant d’y copier REGEORG. Ils ont également pris soin de nommer le fichier de manière à ce qu’il se fonde dans l’application exécutée sur le serveur compromis. Mandiant a également observé des cas où UNC3452 utilisait l’horodatage [referring to a tool available here for deleting or modifying timestamp-related information on files] pour modifier les horodatages des informations standard du shell Web REGEORG afin qu’ils correspondent à d’autres fichiers dans le même répertoire.
L’une des façons dont les pirates maintiennent un profil bas est de favoriser les protocoles Windows standard par rapport aux logiciels malveillants pour se déplacer latéralement. Pour passer aux systèmes d’intérêt, UNC3524 a utilisé une version personnalisée de WMIEXEC, un outil qui utilise Windows Management Instrumentation pour établir un shell sur le système distant.
Finalement, Quietexit exécute son objectif final : accéder aux comptes de messagerie des cadres et du personnel informatique dans l’espoir d’obtenir des documents liés à des éléments tels que le développement de l’entreprise, les fusions et acquisitions et les transactions financières importantes.
« Une fois que l’UNC3524 a réussi à obtenir des informations d’identification privilégiées pour l’environnement de messagerie de la victime, ils ont commencé à envoyer des demandes d’API Exchange Web Services (EWS) à l’environnement Microsoft Exchange sur site ou Microsoft 365 Exchange Online », ont écrit les chercheurs de Mandiant. « Dans chacun des environnements de victimes UNC3524, l’acteur de la menace ciblerait un sous-ensemble de boîtes aux lettres…. »