Que vous n'ayez pas eu l'occasion de lire les recherches menées l’année dernières par les chercheurs d'ESET sur certains des piratages informatiques les plus dangereux des dernières années ou que vous souhaitiez simplement vous rafraîchir la mémoire, c’est l’occasion idéale. Allons droit au but et remémorons-nous quelques exemples des travails menés par ESET aux confins des profondeurs obscures des logiciels malveillants de 2018, y compris les codes malveillants ciblant les serveurs Linux.
Le jumeau maléfique
Parfois, certaines recherches n’attirent pas seulement l’attention des professionnels de la cybersécurité. On a observé ce phénomène alors que les chercheurs d'ESET ont découvert un rootkit qui va particulièrement loin - et même plus loin - afin d'ouvrir une porte dérobée sur une machine ciblée. Bien qu'ils soient extrêmement rares, les rootkits qui s'enfouissent dans l'interface Unified Extensible Firmware Interface (UEFI) de l'ordinateur ne sont pas totalement inconnus, et des exemples de preuve de concept avaient déjà été observés. Cependant, c'était la première fois qu'un tel rootkit était détecté en utilisation active.
Sans surprise, LoJax – c’est le nom que nous avons donné à ce rootkit - est l'œuvre d'un groupe APT (Advanced Persistent Threat). Notre recherche a permis d’établir des preuves solides liant le rootkit à un collectif de pirates particulièrement malfaisant surnommé Sednit (aussi connu sous les noms d’APT28, de Sofacy, de Strontium et de Fancy Bear). Ce groupe s'est fait un nom grâce à l’éventail d'outils insidieux qu'il a déployés - comme on l'a vu à maintes reprises, notamment dans plusieurs recherches des experts d'ESET - contre un grand nombre de cibles géopolitiques.
Pour implanter LoJax au profondeur d'un système, Sednit a réutilisé un logiciel antivol légitime pour ordinateurs portables, connu sous le nom de LoJack (d'où le nom du rootkit). LoJax parasite l'agent LoJack afin de maintenir la persistance du mode utilisateur, après que les opérateurs de Sednit aient utilisé des utilitaires légitimes pour écraser des parties de la mémoire flash SPI de la machine victime, où réside le module LoJack UEFI.
LoJax est à la fois extrêmement difficile à détecter, tout particulièrement pour les logiciels de sécurité qui n'intègrent pas la protection UEFI, et exceptionnellement persistant. Il est nécessaire pour un logiciel antivol légitime de résister à une réinstallation du système d'exploitation et même au remplacement du disque dur, pour permettre à son propriétaire de retrouver son ordinateur perdu ou volé. Après tout, un remplacement de disque dur ou une réinstallation du système d'exploitation pourrait très bien être la première chose qu'un voleur fera, et c'est cette capacité à résister au retrait que LoJax utilise en parasitant LoJack.
Heureusement, il y a un remède lorsqu'un système est compromis avec LoJax. Son propriétaire a essentiellement deux façons de nettoyer : reprogrammer la mémoire flash SPI de la machine ou remplacer complètement la carte mère. Toutefois, aucune de ces deux options n'est simple et vont bien au-delà du processus habituel de suppression des logiciels malveillants. Ceci, encore une fois, aide à illustrer à quel point LoJax est une menace intrusive, persistante et finalement dangereuse.
LoJax annonce-t-il une explosion des logiciels malveillants ciblant les micrologiciels? Pas forcément. Après tout, nous sommes loin ici du logiciel malveillant banal. Néanmoins, les attaquants ont l'habitude d'emprunter les tactiques et stratégies sournoises de leurs prédécesseurs. LoJax pourrait donc servir d’aide et d’inspiration à d’autres auteurs de logiciels malveillants visant à repousser les frontières de l'intrusion informatique. Ceci ne fait que renforcer l'importance d'une analyse UEFI efficace et d'un blocage des menaces.
La rumeur s’éteint… Et renait
Dans une autre découverte majeure de 2018, les chercheurs d'ESET ont déterré suffisamment de preuves pour affirmer que le malware connu sous le nom d'Industroyer, qui a causé la panne de courant d'une heure dans et autour de la capitale de l'Ukraine, Kiev, fin 2016, était l'œuvre du même acteur qui allait déclencher la menace NotPetya (DiskCoder.C), déguisée en rançongiciel six mois plus tard.
Le coupable - un prolifique collectif d'APT nommé TeleBots - est issu d'un groupe appelé BlackEnergy, dont le malware éponyme a été responsable d'un autre incident majeur : une panne de courant qui a touché un quart de million de foyers en Ukraine durant plusieurs heures en décembre 2015.
Ce qui précède lie en fait trois des incidents les plus importants provoqués par des logiciels malveillants semblant tous être les héritiers du même acteur malveillant.
La spéculation selon laquelle TeleBots a éclos Industroyer était très répandue après que les chercheurs d'ESET aient publié leurs découvertes sur ce logiciel malveillant moderne des plus puissants parmi ceux visant les systèmes de contrôle industriels. Il manquait cependant des preuves incriminantes - jusqu'à ce que les mêmes chercheurs d'ESET démontent un logiciel malveillant qui portait le nom de code Win32/Exaramel et qui partageait des similitudes de code significatives avec la porte dérobée principale d'Industroyer.
Dans sa forme la plus simple, Win32/Exaramel est constituée une mise à jour de la porte dérobée qui était au cœur d'Industroyer. Bien que l'attaque de déploiement de la version améliorée ait été empêchée grâce à l'alerte rapide d'ESET auprès des autorités ukrainiennes, « la découverte d'Exaramel montre que le groupe TeleBots est toujours actif en 2018. » Voilà une bonne raison de rester sur nos gardes pour l’avenir.
Cinquante nuances de malice
TeleBots n'est visiblement pas le seul héritier de BlackEnergy, qui semble avoir disparu après la panne de décembre 2015. Un autre collectif malveillant, appelé GreyEnergy, a travaillé en parallèle, et probablement en étroite collaboration, avec TeleBots. Ceci dit, la surface d’attaque et le modus operandi des deux groupes diffèrent considérablement.
Comme le révèle une autre recherche marquante d’ESET - première à faire la lumière sur GreyEnergy à l’échelle mondiale - ce groupe de pirates ne cherche pas à attirer l’attention. Au contraire, le groupe se livre à des activités de reconnaissance et d'espionnage, probablement pour préparer le terrain en vue d'attaques futures de sa propre fabrication ou pour graisser les rouages des opérations qui seront menées par d'autres groupes. C’est alors que GreyEnergy retourne se cacher, se fondant dans la masse une fois son sinistre travail accompli.
La boîte à outils de logiciels malveillants de GreyEnergy présente un certain nombre de similitudes avec celle de son prédécesseur, bien que GreyEnergy constitue en fait une version améliorée de BlackEnergy, accordant « une attention encore plus grande à la furtivité. » Quoi qu'il en soit, les deux groupes partagent un intérêt extrêmement inquiétant pour le secteur de l'énergie et des infrastructures critiques en Ukraine et en Pologne.
Les liens entre GreyEnergy et TeleBots, pour leur part, ont été mis en évidence par l'utilisation en décembre 2016 d'un ver nommé « Moonraker Petya », qui s'est avéré être un précurseur du ver NotPetya, libéré par TeleBots six mois après. Au risque de nous répéter : GreyEnergy est un autre acteur extrêmement dangereux qui mérite d'être surveillé de près.
Tables tournantes
Permettez-nous d’abord de faire un court retour dans le passé, en rappelant quelques faits datant d'avant 2018. Il y a plus de cinq ans, les chercheurs d'ESET ont analysé et contribué à la campagne de perturbation visant Operation Windigo, une campagne malveillante qui a créé un réseau de robots comprenant des dizaines de milliers de serveurs alimentés par Linux. Windigo s'est distingué pour beaucoup de choses, mais ne nous contentons que de deux d'entre elles :
Tout d'abord, on trouvait au cœur de cette campagne une porte dérobée et un système de vols de données d’identité très avancé appelé Linux/Ebury. Ce dernier abusait d'une suite d'outils de connectivité à distance largement utilisée connue sous le nom d'OpenSSH. Par la suite, avant de s'installer, Linux/Ebury vérifiait si d'autres portes dérobées OpenSSH étaient présentes sur le système.
L'examen du code a permis aux chercheurs d'ESET de découvrir d'autres portes dérobées SSH dans la nature, dont certaines étaient auparavant inconnues de la communauté de la cybersécurité. Revenons à 2018, alors qu’ESET dévoile une nouvelle recherche offrant un aperçu unique de l'état de l'art des logiciels malveillants visant les serveurs de Linux.
Après avoir traqué les portes dérobées sauvages des serveurs OpenSSH, les chercheurs ont documenté pas moins de 21 familles de logiciels malveillants, dont 12 étaient inconnues jusqu’alors. On trouve dans cette liste tant des logiciels malveillants simples (prêts à utiliser) et avancés (sur mesure), exploités de diverses manières par des groupes de logiciels criminels et d'APT.
Dix-huit des 21 souches sont équipées d'une fonction de vol de titres de compétences, tandis que 17 contiennent un backdoor. Ce White paper fournit une vue d'ensemble des souches de logiciels malveillants et de leur fonctionnement interne, ce qui représente une contribution significative à l'ensemble de la recherche sur les logiciels malveillants visant spécifiquement Linux.
En outre, ces recherches nous rappellent que, même si les système d’opération Linux seraient, pour diverses raisons, moins à risque d’être la cible de logiciels malveillants que ceux de Windows, la sécurité des systèmes basés sur Linux, y compris les serveurs Internet, n'est peut-être pas autant à toute épreuve que certains pourraient ou voudraient le croire.
Conclusion
Certes, le tableau que nous vous présentons ici ne présente qu’une parcelle des méthodes délibérées et ciblées utilisées par certains des cybercriminels les plus ingénieux du monde. Et pourtant, cet échantillon est plus que suffisant pour illustrer l'ampleur de la menace que laisse présager les cyberattaques en 2019 et pour les années à venir.
D'autres résultats de la communauté de recherche d’ESET sont disponibles dans la section consacrée aux recherches de notre site Web.
