Une attaque ciblée visant un énergéticien européen
Mi-mai, Ensilo avait mis la main sur Furtim, un logiciel malveillant conçu de sorte Ă le doter dâun niveau de furtivitĂ© remarquablement Ă©levĂ©. Cylance a publiĂ© la longue liste des vĂ©rifications quâil opĂšre pour Ă©chapper Ă la dĂ©tection. Les Ă©quipes dâEnsilo, spĂ©cialisĂ© dans la protection contre les suites des intrusions, notaient un serveur de commande et de contrĂŽle hĂ©bergĂ© sur un domaine russe liĂ© Ă plusieurs adresses IP en Ukraine. Mais les questions restaient nombreuses : comment les victimes sont-elles infectĂ©es ? ou qui est visé ?
SentinelOne a peut-ĂȘtre des Ă©lĂ©ments de rĂ©ponse. Les Ă©quipes de cette jeune pousse, qui mise sur lâanalyse comportementale sur le poste de travail pour dĂ©tecter le code malicieux, ont dĂ©couvert une opĂ©ration visant au moins un Ă©nergĂ©ticien europĂ©en en sâappuyant sur un logiciel malveillant lĂ aussi hautement furtif. Et compte tenu de « la nature, du comportement et de la sophistication du logiciel malveillant, et des mesures extrĂȘmes quâil prend pour Ă©chapper Ă la dĂ©tection, il renvoie probablement Ă une initiative soutenue par un Etat-nation, potentiellement en Europe de lâEst ». Ce logiciel malveillant sera un dropper, chargĂ© de dĂ©poser la charge utile malveillante sur les systĂšmes compromis, et il serait actif depuis le mois de mai.
Dans un billet de blog, Joseph Landry, chercheur en sĂ©curitĂ© sĂ©nior, et Udi Shamir, RSSI de SentinelOne, dĂ©taillent un impressionnant Ă©ventail de mĂ©canismes furtifs. Tout dâabord, le logiciel malveillant semble conçu pour rendre particuliĂšrement difficile lâanalyse statique. Il sâappuie notamment sur un bloc de donnĂ©es chiffrĂ©es contenant trois Ă©lĂ©ments de code eux-mĂȘmes chiffrĂ©s avec lâalgorithme RC4, dont la charge utile finale. Un vĂ©ritable jeu de poupĂ©es russes.
Mais le malware en question multiplie les vĂ©rifications pour prĂ©venir toute analyse dynamique, en bac Ă sable. Il vĂ©rifie ainsi le type de processeur et son nombre de cĆurs, constructeur de disque dur et dâautres composants, ou encore fournisseur du BIOS â qui peuvent trahir une machine virtuelle â, le nom de lâhĂŽte, le nom de son propre fichier â « pour voir sâil sâagit dâun emplacement communĂ©ment utilisĂ© par les sandbox ». Il cherche Ă©galement la prĂ©sence de librairies dynamiques utilisĂ©es par les anti-virus pour dĂ©tecter des comportements suspects, ou par les bacs Ă sable pour enregistrer une trace des activitĂ©s dâun processus. Le logiciel cherche Ă©galement des dossiers et fichiers, ainsi que des modules de noyau associĂ©s Ă des logiciels de mise en bac Ă sable, comme le bien connu Cuckoo, ou des anti-virus.
Mais il y a mieux, et « câest lĂ que lâauteur prĂ©pare une attaque sur la psychĂ© de lâanalyse [de sĂ©curitĂ©]. Jusquâici, le processus se contente de dĂ©tecter sandbox, machine virtuelle et antivirus ». Mais il cherche Ă©galement des outils « qui sont gĂ©nĂ©ralement lancĂ©s manuellement pas un analyste ». Et il ne les arrĂȘte pas immĂ©diatement lorsquâil les trouve : « en retardant leur arrĂȘt Ă une partie ultĂ©rieure du processus, il peut donner des cauchemars Ă quelques analystes ». Â
Une attaque ciblée visant un énergéticien européen was originally published on JDCHASTA SAS