Deux outils inédits, issus du même groupe, infectent les appareils à air comprimé

Deux outils inédits, issus du même groupe, infectent les appareils à air comprimé


Il n’est déjà pas facile de créer un seul outil permettant de franchir une brèche dans l’air. GoldenJackal l’a fait deux fois en cinq ans.

Des chercheurs ont mis au jour deux ensembles d’outils sophistiqués qu’un groupe de pirates informatiques d’un État-nation – probablement russe – a utilisés pour voler des données sensibles stockées sur des appareils sous surveillance aérienne, c’est-à-dire des appareils délibérément isolés de l’internet ou d’autres réseaux afin de les protéger contre les logiciels malveillants.

L’une des collections d’outils personnalisés a été utilisée à partir de 2019 contre une ambassade d’Asie du Sud en Biélorussie. Un ensemble d’outils largement différent créé par le même groupe de menace a infecté une organisation gouvernementale de l’Union européenne trois ans plus tard. Les chercheurs d’ESET, l’entreprise de Sécurité qui a découvert les boîtes à outils, ont déclaré que certains des composants des deux étaient identiques à ceux que l’entreprise de sécurité Kaspersky a décrits dans une recherche publiée l’année dernière et attribuée à un groupe inconnu, repéré sous le nom de GoldenJackal, travaillant pour un État-nation. Sur la base de ces recoupements, ESET a conclu que le même groupe était à l’origine de toutes les attaques observées par les deux entreprises.

Tout à fait inhabituel

La pratique de l’air gapping est généralement réservée aux réseaux les plus sensibles ou aux dispositifs qui y sont connectés, tels que ceux utilisés dans les systèmes de vote, de contrôle industriel, de fabrication et de production d’énergie. Une série de logiciels malveillants utilisés dans le cadre de piratages d’espionnage au cours des 15 dernières années (par exemple, ici et ici) démontrent que l’air gapping n’est pas une protection infaillible. Elle oblige néanmoins les groupes de pirates à déployer des ressources considérables que seuls des États-nations dotés d’une grande perspicacité technique et de budgets illimités peuvent vraisemblablement obtenir. La découverte d’ESET place GoldenJackal dans un groupe très exclusif de groupes de menace.

“Avec le niveau de sophistication requis, il est assez inhabituel qu’en cinq ans, GoldenJackal ait réussi à construire et à déployer non pas un, mais deux ensembles d’outils distincts conçus pour compromettre les systèmes sous surveillance aérienne”, a écrit Matías Porolli, chercheur chez ESET, dans le rapport de mardi. “Cela témoigne de l’ingéniosité du groupe.

L’évolution du kit de 2019 et celui de trois ans plus tard souligne la sophistication croissante des développeurs de GoldenJackal. La première génération offrait un ensemble complet de capacités, notamment :

  • GoldenDealer, un composant qui fournit des exécutables malveillants aux systèmes sous surveillance aérienne par le biais de clés USB.
  • GoldenHowl, une porte dérobée qui contient divers modules pour un ensemble de capacités malveillantes.
  • GoldenRobo, un collecteur de fichiers et un exfiltrateur.

Selon ESET, quelques semaines après le déploiement du kit en 2019, GoldenJackal a commencé à utiliser d’autres outils sur les mêmes appareils compromis. Les outils plus récents, que Kaspersky a documentés dans sa recherche de 2023, comprenaient :

  • Une porte dérobée repérée sous le nom de JackalControl.
  • JackalSteal, un collecteur de fichiers et un exfiltrateur.
  • JackalWorm, utilisé pour propager d’autres composants JackalControl et d’autres composants malveillants sur des clés USB.

Selon ESET, GoldenJackal a continué à utiliser ces outils jusqu’en janvier de cette année.

Construire un meilleur piège

Lors de l’attaque de 2022 contre l’organisation gouvernementale de l’Union européenne, GoldenJackal a commencé à utiliser une nouvelle boîte à outils personnalisée. Écrite dans plusieurs langages de Programmation, dont Go et Python, la nouvelle version adopte une approche beaucoup plus spécialisée. Elle attribue différentes tâches à différents types d’appareils infectés et rassemble un éventail beaucoup plus large de modules, qui peuvent être mélangés et assortis en fonction des objets de l’attaquant pour différentes infections.

“Dans les attaques observées, GoldenJackal a commencé à utiliser une approche très modulaire, utilisant divers composants pour effectuer différentes tâches”, écrit Porolli d’ESET. “Certains hôtes ont été utilisés pour exfiltrer des fichiers, d’autres ont servi de serveurs locaux pour recevoir et distribuer des fichiers mis en scène ou des fichiers de configuration, et d’autres encore ont été jugés intéressants pour la collecte de fichiers, à des fins d’espionnage.”

La figure ci-dessous classe certains des composants de manière spécifique :

  • GoldenUsbCopy, qui surveille l’insertion de clés USB sur des dispositifs à air comprimé et, lorsqu’il en trouve, les copie dans un conteneur crypté qui est stocké sur le disque.
  • GoldenUsbGo, qui semble être une version actualisée de GoldenUSBCopy.
  • GoldenAce, un outil de distribution permettant de propager d’autres exécutables malveillants et de récupérer des fichiers stockés sur des clés USB.
  • Serveur HTTP, un serveur HTTP dont la fonction précise n’est pas bien comprise.
  • GoldenBlacklist, qui télécharge une archive chiffrée à partir d’un serveur local, passe au crible les messages électroniques reçus pour en extraire ceux qui présentent un intérêt, et les place dans une archive pour qu’un autre composant puisse les exfiltrer.
  • GoldenPyBlacklist, une implémentation Python de GoldenBlacklist
  • GoldenMailer, qui exfiltre des fichiers intéressants en les attachant à des courriels envoyés à une adresse électronique contrôlée par l’attaquant.
  • GoldenDrive, un outil d’exfiltration distinct qui, contrairement à GoldenMailer, télécharge les fichiers intéressants sur Google Drive.

Les composants du dernier ensemble d’outils de GoldenJackal.

Les composants du dernier ensemble d’outils de GoldenJackal.


Crédit :

ESET

La boîte à outils récemment découverte est composée de nombreux modules différents, écrits dans des langues et des capacités multiples. L’objectif global semble être d’accroître la flexibilité et la résilience au cas où un module serait détecté par la cible.

“Leur objectif est d’obtenir des données difficiles à obtenir à partir de systèmes sous surveillance aérienne et de rester le plus possible sous le radar”, a écrit Costin Raiu, un chercheur qui travaillait chez Kaspersky à l’époque où il effectuait des recherches sur GoldenJackal, lors d’une interview. “La multiplicité des mécanismes d’exfiltration indique qu’il s’agit d’un kit d’outils très flexible qui peut s’adapter à toutes sortes de situations. Ces nombreux outils indiquent qu’il s’agit d’un cadre hautement personnalisable dans lequel ils déploient exactement ce dont ils ont besoin, par opposition à un logiciel malveillant polyvalent qui peut faire n’importe quoi.”

L’étude d’ESET apporte d’autres éléments nouveaux, notamment l’intérêt de GoldenJackal pour des cibles situées en Europe. Les chercheurs de Kaspersky ont détecté que le groupe visait des pays du Moyen-Orient.

Sur la base des informations dont dispose Kaspersky, les chercheurs de la société n’ont pas pu attribuer GoldenJackal à un pays en particulier. ESET n’a pas non plus été en mesure d’identifier avec certitude le pays en question, mais a trouvé un indice permettant de penser que le groupe de menace pourrait avoir un lien avec Turla, un puissant groupe de pirates informatiques travaillant pour le compte de l’agence de renseignement russe FSB. Ce lien se présente sous la forme d’un Protocole de commande et de contrôle dans GoldenHowl, appelé transport_http. On retrouve la même expression dans les logiciels malveillants dont on sait qu’ils proviennent de Turla.

Selon M. Raiu, l’approche très modulaire rappelle également Red October, une Plateforme d’espionnage élaborée découverte en 2013 et ciblant des centaines d’organisations diplomatiques, gouvernementales et scientifiques dans au moins 39 pays, dont la Fédération de Russie, l’Iran et les États-Unis.

Bien qu’une grande partie du rapport de mardi contienne une analyse technique qui risque d’être trop avancée pour être comprise par le plus grand nombre, il fournit de nouvelles informations importantes qui permettent de mieux comprendre les logiciels malveillants conçus pour franchir les brèches aériennes, ainsi que les tactiques, les techniques et les procédures de ceux qui les utilisent. Le rapport sera également utile aux personnes chargées de protéger les types d’organisations les plus fréquemment ciblées par les groupes d’États-nations.

“Je dirais que ce rapport est surtout intéressant pour les responsables de la sécurité qui travaillent dans les ambassades et les CERT gouvernementaux”, a déclaré M. Raiu. “Ils doivent vérifier l’existence de ces TTP et les surveiller à l’avenir. Si vous avez déjà été victime de Turla ou de Red October, je vous conseille de garder un œil sur cette affaire.

Jad Marchy
+ posts

Jad MARCHI est un ardent défenseur de la technologie, passionné par son potentiel de transformation. Ayant accumulé une décennie d’expérience dans le secteur technologique, Jean a travaillé sur une variété de projets innovants qui l’ont amené à comprendre le paysage changeant de ce domaine. Il est fasciné par l’évolution rapide de la technologie et son impact sur notre société. Que ce soit l’intelligence artificielle, la robotique, la blockchain ou la cybersécurité, il est toujours à la recherche des dernières tendances. Ses articles cherchent à informer, à inspirer et à provoquer des réflexions sur la façon dont la technologie façonne notre avenir.

Back to Top
close

Log In

Forgot password?

Forgot password?

Enter your account data and we will send you a link to reset your password.

Your password reset link appears to be invalid or expired.

Log in

Privacy Policy

Add to Collection

No Collections

Here you'll find all collections you've created before.

Hey Friend!
Before You Go…

Get the best viral stories straight into your inbox before everyone else!

Don't worry, we don't spam

Close
Close