Crouching Yeti : une campagne mondiale d’espionnage touchant des centaines d’activités

Cropped Favicon Economi Matin.jpg
Par Nicolas Brulez Publié le 9 août 2014 à 3h21

La campagne Crouching Yeti, alias Energetic Bear, se caractérise entre autres par de nouveaux outils malveillants et une liste étendue de victimes. Le texte complet de l'étude est disponible sur le site securelist.com

Kaspersky Lab annonce la publication d'une analyse complète et approfondie du malware et de l'infrastructure de serveurs de commande et contrôle (C&C) de la campagne de cyberespionnage dénommée Crouching Yeti. Cette analyse a été réalisée par l'équipe GReAT (Global Response & Emergency Team) de Kaspersky Lab.

Si les origines de cette campagne remontent à la fin de l'année 2010, celle-ci n'en est pas moins extrêmement virulente aujourd'hui, ciblant chaque jour de nouvelles victimes.

De nombreux secteurs visés

Le malware Energetic Bear / Crouching Yeti est impliqué dans plusieurs campagnes de menaces persistantes avancées (APT). Selon l'étude de Kaspersky Lab, ses victimes paraissent représenter un plus grand nombre d'entreprises que ce qui avait été supposé jusque-là. Les plus nombreuses appartiennent aux secteurs suivants :

· Processus industriels/machines-outils

· Fabrication

· Industrie pharmaceutique

· Bâtiment

· Education

· Informatique

Le nombre total de victimes recensées à travers le monde dépasse 2800, parmi lesquelles les chercheurs de Kaspersky Lab ont pu identifier 101 entreprises. L'ampleur de cette liste semble indiquer un intérêt de Crouching Yeti pour des cibles stratégiques mais aussi pour de nombreuses autres institutions moins en vue. Selon les experts de Kaspersky Lab, il pourrait s'agir de victimes collatérales mais l'on pourrait tout aussi bien considérer Crouching Yeti à la fois comme une campagne très ciblée dans des domaines spécifiques et comme une campagne de surveillance ratissant plus large dans différents secteurs.

Les entreprises attaquées se situent essentiellement aux Etats-Unis, en Espagne, au Japon ainsi qu'en Allemagne, France, Italie, Turquie, Irlande, Pologne et Chine. Compte tenu de la nature des victimes identifiées, le principal risque pour elles est la fuite d'informations très sensibles telles que des secrets de fabrication et du savoir-faire.

Des outils malveillants avec de multiples modules supplémentaires

Crouching Yeti n'est pas vraiment une campagne sophistiquée. Par exemple, les auteurs des attaques n'ont pas exploité de failles « zero day » mais uniquement des vulnérabilités largement documentées sur Internet. Cela n'empêche toutefois pas cette campagne d'être active depuis plusieurs années.

Les chercheurs de Kaspersky Lab ont découvert des indices signalant l'existence de cinq types d'outils malveillants employés par les auteurs des attaques pour dérober des informations clés sur les systèmes infectés :

· Havex (cheval de Troie)

· Sysmain (cheval de Troie)

· The ClientX (backdoor)

· Karagany (backdoor et stealers apparentés)

· Outils indirects de type « lateral movement » et « second stage »

L'outil le plus largement utilisé est le cheval de Troie Havex. Au total, les chercheurs de Kaspersky Lab ont découvert pas moins de 27 versions distinctes de ce programme malveillant ainsi que plusieurs modules annexes, notamment destinés à la collecte de données auprès de systèmes de contrôle de processus industriels.

En ce qui concerne les serveurs C&C, Havex et les autres outils malveillants de Crouching Yeti se connectent à un vaste réseau de sites Web piratés. Ces derniers hébergent les adresses des victimes et diffusent vers les systèmes infectés des commandes ainsi que des modules de malware complémentaires.

Ces modules téléchargeables servent en particulier à dérober des mots de passe et des contacts Outlook, à effectuer des captures d'écran mais aussi à rechercher et subtiliser certains types de fichiers : documents texte, tableurs, bases de données, PDF, disques virtuels, listes protégées de mots de passe, clés de sécurité PGP, etc.

Espionnage industriel

Jusqu'à présent, le cheval de Troie Havex est connu pour deux modules très spécifiques destinés à transmettre aux auteurs de l'attaque des données concernant des environnements informatiques industriels particuliers. Le premier d'entre eux est le module scanner OPC, conçu pour siphonner des informations extrêmement détaillées sur les serveurs OPC fonctionnant en réseau local. Ces serveurs sont généralement utilisés en présence de multiples automates industriels.

Le scanner OPC s'accompagne d'un outil de scrutation du réseau. Ce second module surveille le réseau local à la recherche de tous les ordinateurs qui écoutent les ports liés aux logiciels OPC/SCADA et tente de se connecter à ces hôtes afin d'identifier un potentiel système OPC/SCADA et d'en transmettre toutes les données aux serveurs C&C.

Origine mystérieuse

Les chercheurs de Kaspersky Lab ont observé plusieurs métacaractéristiques qui pourraient laisser deviner la nationalité des cybercriminels se cachant derrière cette campagne. En particulier, après analyse de l'horodatage de 154 fichiers, ils en ont conclu que la plupart des échantillons avaient été compilés entre 6 h et 16 h (UTC), ce qui pourrait correspondre à toute l'Europe de l'Ouest ou de l'Est.

Les experts ont également analysé la langue utilisée dans les messages à l'intérieur du code malveillant : il s'agit de l'anglais (mais écrit par des individus dont ce n'est pas la langue maternelle). À la différence de plusieurs autres chercheurs ayant précédemment étudié cette campagne, les spécialistes de Kaspersky Lab n'ont pas pu conclure formellement si elle était, ou non, d'origine russe. Près de 200 fichiers binaires malveillants et leur contenu opérationnel ne présentent absolument aucun message en caractères cyrilliques (ou leur translittération en alphabet latin), à l'opposé des constatations documentées par Kaspersky Lab après l'analyse des campagnes Red October, Miniduke, Cosmicduke, Snake ou TeamSpy. Enfin, certains indices linguistiques dénotent la présence de locuteurs français et suédois.

Energetic Bear était le premier nom donné à cette campagne par Crowd Strike suivant sa propre nomenclature, le mot Bear (« ours ») faisant référence à une supposée origine russe. Kaspersky Lab continue d'explorer toutes les pistes existantes mais, pour l'heure, aucune preuve solide ne permet de privilégier l'une ou l'autre. En outre, notre analyse démontre que l'objectif global des attaques ne se cantonne pas au seul secteur énergétique. C'est pourquoi nous avons décidé de rebaptiser le phénomène Crouching Yeti, l'allusion au yéti évoquant son origine mystérieuse.

Les experts de Kaspersky Lab poursuivent leurs recherches sur cette campagne, en collaboration avec les pouvoirs publics et des partenaires des différents secteurs. Le texte complet de l'étude est disponible sur le site securelist.com.

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Nicolas Brulez est Principal Malware Researcher chez Kaspersky Lab.

Aucun commentaire à «Crouching Yeti : une campagne mondiale d’espionnage touchant des centaines d’activités»

Laisser un commentaire

* Champs requis