in Sécurité

McAfee dévoile le fonctionnement d’une campagne de cyber-espionnage international

  • Les recherches menées par McAfee révèlent les rouages internes d’une campagne mondiale de cyber espionnage.
  • Les données apportent des preuves d’une action antérieure d’un an de l’activité initialement dévoilée en 2018.
  • La campagne en cours vise principalement le secteur financier, le secteur public et les infrastructures critiques à l’international.

McAfee révèle aujourd’hui que la campagne Operation Sharpshooter exposée en 2018 est en réalité bien plus complexe, étendue et longue dans le temps.
McAfee Advanced Threat Research a effectué une analyse détaillée du code et des données d’un serveur, de commande et de contrôle, responsable de la gestion des opérations, des outils et des techniques derrière cette campagne mondiale de cyber espionnage. Le contenu a été fourni à McAfee à des fins d’analyse par une entité gouvernementale, qui connaît bien la recherche publiée, sur cette campagne de malware. Son étude a conduit à l’identification de multiples centres de commandement et de contrôle auparavant inconnus. Elle suggère notamment que Sharpshooter a en réalité commencé dès septembre 2017 et que la campagne a ciblé un plus grand nombre d’organisations, sur des secteurs et pays plus étendu qu’initialement révélé. L’attaque est d’ailleurs toujours en cours.

« L’analyse de McAfee Advanced Threat Research permet de mieux comprendre comment les responsables de Sharpshooter ont développé et configuré l’infrastructure de contrôle. Elle nous donne des pistes quant à la distribution du malware et aux méthodes employées pour tester furtivement les campagnes avant leur lancement », a déclaré Raj Samani, Chief Scientist McAfee. « Ces renseignements sont inestimables pour approfondir notre compréhension de l’adversaire et in fine, bâtir de meilleures défenses. »

En décembre 2018, McAfee Advanced Threat Research a découvert pour la première fois l’opération Sharpshooter, une campagne mondiale de cyber espionnage, ciblant plus de 80 organisations dans des secteurs critiques comme les télécommunications, l’énergie, le secteur public et la défense. L’analyse des nouvelles preuves a mis en évidence des similitudes frappantes entre les indicateurs techniques de ces attaques et les aspects de celles attribuées au groupe Lazarus. Cela inclut, par exemple, l’utilisation par ce dernier de versions similaires de l’implant Rising Sun remontant à 2017, et le code source de la fameuse porte dérobée Trojan Duuzer du groupe Lazarus de 2016.

« Les preuves techniques ne sont souvent pas suffisantes pour bien comprendre une cyberattaque, car elles ne fournissent pas toutes les pièces du puzzle », a déclaré Christiaan Beek, senior principal engineer and lead scientist de McAfee. « L’accès au code du serveur de commande et de contrôle de l’adversaire est une opportunité rare. Ces systèmes donnent un aperçu du fonctionnement interne de l’infrastructure des cyberattaques. Ils sont généralement saisis par les autorités et ne sont que rarement mis à la disposition des chercheurs du secteur privé. Les connaissances acquises grâce à ce code sont indispensables pour comprendre et combattre les campagnes de cyberattaques les plus importantes et les plus sophistiquées d’aujourd’hui. »

Lancées environ un an plus tôt que prévu et toujours en cours, ces attaques semblent maintenant se concentrer principalement sur les services financiers, les institutions gouvernementales et les infrastructures critiques. Les attaques récentes visent principalement l’Allemagne, la Turquie, le Royaume-Uni et les États-Unis. Les attaques précédentes ont porté sur les secteurs des télécommunications, du gouvernement et des finances, principalement aux États-Unis, en Suisse, ou encore en Israël.

Autres résultats :

  • La chasse et le spear phishing. L’Opération Sharpshooter partage de multiples similitudes de conception et tactiques avec plusieurs campagnes, comme celles des faux emplois très similaire menée en 2017 que les professionnels de la cybersécurité attribuent au groupe Lazarus.
  • Une connexion en Afrique. L’analyse du code du serveur de commande et de contrôle ainsi que des logs a également permis de découvrir un bloc réseau d’adresses IP provenant de la ville de Windhoek, en Namibie. Cela a conduit les analystes de McAfee Advanced Threat Research à soupçonner les acteurs derrière Sharpshooter d’avoir testé leurs implants et d’autres techniques dans cette région du monde avant de lancer leur vaste campagne d’attaques.
  • Le maintien de l’accès aux actifs. Les attaquants ont utilisé une infrastructure de commande et de contrôle avec le backend de base écrit en Hypertext Preprocessor (PHP) et Active Server Pages (ASP). Le code semble être personnalisé et unique au groupe et l’analyse de McAfee révèle qu’il fait partie de leurs opérations depuis 2017.
  • L’évolution de Rising Sun. Les attaquants de Sharpshooter ont utilisé un processus où divers composants malveillants intégrés à Rising Sun ont été développés indépendamment de la fonctionnalité de l’implant central. Ces composants apparaissent dans divers implants datant de 2016, ce qui indique que les attaquants ont accès à un ensemble de fonctionnalités développées à leur disposition.
Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.