• Perspective
Publié le 8 décembre 2015

APT29

Dans son dernier rapport, la société américaine FireEye nous détaille le mode opératoire du groupe d’attaquants APT29, soupçonné d’être soutenu par la Russie. Ce groupe, spécialisé dans le cyberespionnage, est l’un des plus sophistiqués découverts par FireEye. Les attaquants semblent attachés à rester très discrets et utilisent pour cela plusieurs couches d’obfuscation pour limiter le risque d’être détecté par leurs victimes et par des chercheurs en sécurité.

Le malware utilisé par le groupe, baptisé Hammertoss par FireEye, fonctionne en 5 grandes étapes pour communiquer vers l’extérieur afin de recevoir des ordres et exfiltrer des données :

Le malware génère et va consulter sur Internet différents comptes Twitter. Si les opérateurs d’APT29 n’ont pas enregistrés les comptes Twitter correspondants, le malware réessaiera avec de nouveaux comptes générés le lendemain.
Hammertoss visite la page Twitter du compte du jour et recherche un tweet composé d’une URL et d’un #hashtag
Le malware ouvre le lien (qui renvoie vers un compte spécifique sur GitHub.com ou sur un serveur compromis) et télécharge une image
Hammertoss recherche ensuite dans le cache d’Internet Explorer l’image téléchargée qui semble anodine mais dans laquelle les attaquants ont caché en réalité des instructions chiffrées en utilisant des techniques de stéganographie. Le hashtag présent dans le tweet permet de retrouver et de déchiffrer le message caché dans l’image.
Le message déchiffré contient les « ordres » des attaquants. Il peut s’agir de commandes PowerShell pour effectuer une reconnaissance du réseau de la victime ou télécharger et ouvrir un exécutable. Dans de nombreux cas, le message contient également un identifiant et un mot de passe appartenant à un compte de services de stockage Cloud vers lesquelles des données (par l’exemple, les résultats d’une reconnaissance réseau) vont être exfiltrées.

Cet exemple montre que les groupes d’attaquants les plus avancés rivalisent d’ingéniosité pour masquer leurs traces et communiquer / exfiltrer des données de façon très discrète (seulement pendant la semaine, pour dissimuler les communications entre le malware et les serveurs de Command & Control parmi le traffic Internet légitime de l’organisation ciblée). APT29 est également capable de s’adapter rapidement. Par exemple, si le site GitHub.com est bloqué par sa cible, les attaquants peuvent héberger les images contenant les instructions chiffrées sur d’autres sites.

Le rapport complet est disponible ici.
Nicolas CAPRONI

Article rédigé par
Erwan Brouder