L’Europe de l’Est ciblée par un malware capable de voler des données sur les systèmes air-gapped
Un groupe de pirates sponsorisé par la Chine est suspecté d'être à l'origine d'une série de cyberattaques contre des industries basées en Europe de l'Est. L'objectif de ces attaques : voler les données sur les systèmes air-gapped.
Kaspersky a mis en ligne un nouveau rapport qui évoque une série d'attaques qui a débuté en avril 2022 et lors desquelles les pirates sont parvenus à exfiltrer des données à partir de système air-gapped. Pourtant, par définition, un système air-gapped se veut isolé du réseau de l'entreprise et d'Internet pour des raisons de sécurité. Selon l'implémentation, cette isolation peut être physique. Comment les pirates sont-ils parvenus à exfiltrer des données sur ces systèmes sous cloche ?
Ce nouveau malware attribué au groupe de pirates APT31 alias Zirconium est associé à des attaques réalisées en plusieurs phases : "Au total, nous avons identifié plus de 15 implants et leurs variantes mis en place par les cybercriminels dans diverses combinaisons.", précise Kaspersky. Ainsi, il y a trois grandes catégories d'implants correspondantes à différentes phases de l'attaque.
- Première phase pour bénéficier d'un accès permanent à distance, et procéder à la collecte initiale de données
- Deuxième phase pour la collecte de données et de fichiers, y compris à partir de systèmes air-gapped
- Troisième phase pour télécharger des données vers le C2
Pour parvenir à exfiltrer des données à partir de systèmes air-gapped, les cybercriminels s'appuient sur la propagation USB : ce qui implique que les informations transitent par des périphériques USB. Il est vrai qu'un périphérique USB peut être connecté sur une machine du réseau local, puis sur un système air-gapped, et inversement, ce qui permet de faire transiter des informations grâce à l'infection préalable du périphérique USB.
Sur le périphérique USB, les données sont stockées dans le répertoire "$RECYCLE.BIN" pour que ce soit discret. Avant tout cela, un premier module présent sur une machine va infecter les lecteurs amovibles en copiant un exécutable légitime de McAfee, mais vulnérable à la technique du DLL hijacking, ainsi qu'une DLL malveillante qui sert de charge utile. Ces fichiers sont cachés, tandis qu'un fichier LNK (raccourci), visible quant à lui, est créé de manière à déclencher l'infection si l'utilisateur l'ouvre.
Cette méthode montre qu'en l'absence de connectivité au reste du réseau Ethernet de l'entreprise, l'USB représente une belle opportunité.
Les données récupérées sont stockées dans une archive compressée avant d'être chargée vers un espace de stockage Dropbox ou Yandex Disk contrôlé par les pirates. Dans certains cas, c'est un serveur VPS qui a été utilisé pour réceptionner les données.
