Sednit est l’un des groupes de cyberattaquants les plus célèbres actuellement en exploitation dans le monde. Actif au moins depuis 2004, le groupe a hélas intensifié ses activités depuis les deux dernières années, multipliant les efforts pour infliger à ses victimes les dégâts les plus lourds possibles.

Parfaitement conscient de la situation, ESET, un chef de file mondial dans le domaine de la sécurité de l’information, a pris Sednit en filature depuis ce temps. Cet exercice s’est avéré une véritable mine de renseignements, qui ont été colligés dans un rapport en trois volets explicitant les nombreuses facettes propres à ce groupe.

Cet article propose aux lecteurs un très court condensé des constatations d’ESET, une sorte de point d’entrée vers Sednit. Cela dit, nous vous recommandons fortement de consulter les trois volets du rapport (en anglais seulement), qui s’articulent de façon fascinante autour du groupe.

Volet 1 : approcher la cible

Les principales cibles de Sednit en disent long sur les motivations du groupe et sur les techniques sophistiquées qu’il emploie. Considérons les cibles suivantes.

  • Avril 2015 : la chaîne de télévision francophone TV5 Monde
  • Mai 2015 : le parlement allemand
  • Mars 2016 : le Comité national démocrate américain

Nous pouvons en tirer deux conclusions. D’une part, Sednit n’a aucune réticence à attaquer des cibles de grande visibilité et, d’autre part, ses activités sont liées à la géopolitique internationale.

ESET a déniché la liste de cibles en découvrant une faille dans les campagnes de harponnage du groupe. Pour raccourcir les adresses URL dans ses courriels d’hameçonnage ciblé, Sednit a recours à Bitly. Seulement voilà que l’un des comptes de Sednit est laissé par erreur accessible au public, de façon à exposer toutes les adresses URL réduites.

Sur cette liste figuraient des personnes et des organisations détenant une adresse Gmail, dont des ambassades nationales (Algérie, Colombie, Inde, Iraq, Corée du Nord, Kirghizistan et Liban), des ministères de la Défense (Argentine, Bangladesh, Corée du Sud, Turquie et Ukraine), des journalistes en poste en Europe orientale, des dissidents politiques russes ainsi que des membres au sein des institutions de l’OTAN.

 LA PLUPART DES CIBLES IDENTIFIÉES PARTAGENT UN POINT COMMUN, SOIT LEUR POSITION SUR LA SITUATION POLITIQUE ACTUELLE EN EUROPE ORIENTALE.

ESET remarque que « la plupart des cibles identifiées partagent un point commun, soit leur position sur la situation politique actuelle en Europe orientale ».

Sednit utilise deux méthodes pour déployer ses programmes malveillants et cibler ce type de personnes et d’organisations. La première consiste à convaincre les destinataires d’ouvrir la pièce jointe d’un courriel, et la seconde, à les diriger vers un site Web contenant un code d’exploitation personnalisé (qui exploite les vulnérabilités d’un système ou d’une machine). Un courriel d’hameçonnage ciblé en est la source dans la majorité des cas.

La capacité de Sednit à déceler les vulnérabilités jour zéro est particulièrement intéressante. Par exemple, le groupe a réussi à exploiter six de ces failles uniquement en 2015, ce qui démontre un degré élevé de connaissances et de compétences.

ESET conclut que : « Grosso modo, le groupe Sednit est constamment à la recherche de nouveaux angles d’attaque, tant en usant de stratégies opportunistes que par ses propres moyens. »

Volet 2 : observer les faits et gestes

Une fois que Sednit a envoyé ses maliciels comme Seduploader ou Downdelph sonder le terrain, le groupe introduit sa trousse à outils d’espionnage, qui permet la surveillance à long terme des machines infectées.

Pour ce faire, il a habituellement recours à deux logiciels espions, Sedreco et Xagent, puis à l’outil réseau Xtunnel. Nul doute que ces trois applications malveillantes sont primordiales pour comprendre le gros des activités de Sednit et parvenir à les détecter.

À propos de Xagent, qui offre une version compatible avec Windows, Linux et iOS, ESET fait remarquer que : « Au cours des dernières années, ce logiciel espion bien conçu est devenu le maliciel de prédilection de Sednit. Sa fonctionnalité de communication par requête HTTP ou par courriel en fait un outil polyvalent pour les opérateurs. »

ESET observe également que Sedreco a la capacité d’« enregistrer de nouvelles commandes de manière dynamique » et de « télécharger des modules d’extension externes ». Ce logiciel espion à la fois flexible et fort utile est constitué d’un programme seringue et d’une charge rémanente qui ont servi a Sednit pendant des années.

Quant à Xtunnel, qui modifie la machine compromise et la transforme en relais de communication réseau, ESET est d’avis qu’ « il est d’une grande importance pour les opérateurs de Sednit. »

Volet 3 : démystifier le téléchargeur

Signe révélateur de son importance, le dernier volet du document technique sur Sednit tourne autour de Downdelph, un logiciel malveillant de première phase. Malgré son utilisation limitée par les cyberpirates, ce maliciel comporte des données précieuses sur certaines de leurs techniques de ciblage.

Les données de télémesure d’ESET indiquent que le programme n’a été déployé que sept fois, mais il est intéressant de constater qu’il a été combiné à des outils de virus système et de dissimulation d’activité, utilisés comme menace persistante avancée. Une telle approche peut sembler singulière, mais s’est montrée extrêmement efficace pour les opérateurs de Sednit qui ont réussi à passer sous le radar.

Écrit en langage de programmation delphi, d’où il tire son nom, Downdelph fonctionne généralement de la même façon : il télécharge d’abord un fichier de configuration principal, puis ajoute des serveurs à la liste de commande et de contrôle du système avant d’extraire des données utiles de chacun d’eux.

ESET conclut que : « Pratiquement jamais déployé par les opérateurs de Sednit, il a échappé aux chercheurs de maliciels pendant près de deux ans, et ses fonctionnalités de menace persistante avancée ont permis d’assurer la surveillance à long terme des cibles spécifiques. »