Wild Neutron le retour
jeu, 09/07/2015 - 14:07
En 2013, un groupe de cyber criminels connus sous le nom de « Wild Neutron » (également appelé « Jripbot » ou « Morpho ») s’est attaqué à plusieurs entreprises très en vue, y compris Apple, Facebook, Twitter et Microsoft. L’incident avait été largement médiatisé et cet acteur avait ensuite disparu pendant près d’un an.
En fin d’année 2013 et début 2014, les attaques ont repris et elles se sont poursuivies en 2015. Wild Neutron utilise un certificat de vérification de code valide volé et un exploit Flash Player inconnu pour infecter des entreprises et des individus à travers le monde, dans le but de voler des informations commerciales sensibles.
Les chercheurs de Kaspersky Lab ont été capables d’identifier des cibles de Wild Neutron dans 11 pays, y compris la France, la Russie, la Suisse, l’Allemagne, l’Autriche, la Palestine, la Slovénie, le Kazakhstan, les Émirats arabes unis, l’Algérie est les Etats-Unis. Elles incluent :
- Des cabinets d’avocats
- Des entreprises liées aux Bitcoins
- Des sociétés d’investissement
- Des groupements de grandes entreprises souvent impliquées dans des activités de fusions-acquisitions
- Des entreprises informatiques
- Des organismes de santé
- Des entreprises immobilières
- Des utilisateurs individuels
Le champ d’action de ces attaques suggère qu’elles ne sont pas sponsorisées par un Etat. Cependant, l’utilisation de malwares multiplateformes zero-days ainsi que d’autres techniques laisse à penser qu’il s’agit d’un groupe puissant impliqué dans de l’espionnage, vraisemblablement pour des raisons économiques.
L’attaque
Le vecteur initial d’infection des récentes attaques menées par Wild Neutron reste inconnu, bien qu’il existe des indicateurs clairs que les victimes sont exploitées par un kit qui tire profit d’un exploit Flash Player inconnu via des sites internet compromis. L’exploit envoie à la victime un « malware dropper package ».
Dans les attaques observées par les chercheurs de Kaspersky Lab, le dropper était signé par un certificat de vérification de code valide. L’utilisation des certificats permet aux malwares d’éviter d’être détectés par des solutions de protection. Le certificat utilisé dans le cadre des attaques de Wild Neutron semble avoir été volé à un constructeur de produits électroniques grand public connu. Ce certificat est maintenant en train d’être révoqué.
Après être entré dans le système, le dropper installe la « backdoor » principale.
En termes de fonctionnalités, la backdoor principale n’est pas différente de nombreux autres outils d’accès à distance (Remote Access Tools - RATs). Ce qui est vraiment significatif c’est le soin apporté aux cybercriminels pour cacher l’adresse du serveur de commande et de contrôle (command and control server - C&C) et la capacité du C&C à se remettre d’un arrêt. Le C&C est une partie importante de l’infrastructure malicieuse car il sert de « base de départ » pour le déploiement des malwares sur les appareils des victimes. Des mesures spécifiques intégrées dans le malware aident les cybercriminels à protéger l’infrastructure de potentielles tentatives d’arrêt ou de manipulation du C&C.
Origine incertaine
L’origine des cybercriminels reste un mystère. Dans certains des échantillons, la configuration cryptée inclut la chaîne « La revedere » (“Au revoir » en roumain) pour marquer la fin des communications C&C. D’autre part, les chercheurs de Kaspersky Lab ont trouvé une autre chaine non-anglophone qui est la traduction latine du mot russe « Успешно » (« uspeshno », « avec succès »).
« Wild Neutron est un groupe talentueux et assez versatile. Actif depuis 2011, il a utilisé au moins un exploit zero-day ainsi que des malwares et des outils personnalisés pour Windows et OS X. Bien que par le passé, les cybercriminels aient attaqué de très grandes entreprises mondiales, ils ont réussi à rester relativement discrets grâce à des mesures de sécurité opérationnelle solides qui ont permis jusqu’ici de faire échouer la plupart des efforts d’attribution. La stratégie du groupe, qui cible de grandes entreprises informatiques, des développeurs de spywares (FlexiSPY), des forums djihadistes (« Ansar Al-Mujahideen English Forum ») et des entreprises de Bitcoins, indique que ses intérêts et son état d’esprit sont flexibles et inhabituels, » explique Costin Raiu, directeur de l’équipe globale de recherche et d’analyse (GReAT) de Kaspersky Lab.
Les malwares utilisés par Wild Neutron ont pour noms :
- Trojan.Win32.WildNeutron.gen;
- Trojan.Win32.WildNeutron.*;
- Trojan.Win32.JripBot.*;
- Trojan.Win32.Generic.
Pour en savoir plus sur Wild Neutron, rendez-vous sur : Securelist.com.