16/12/2024

Actu Cybersécurité

L’Europe de l’Est ciblée par un malware capable de voler des données sur les systèmes air-gapped

Un groupe de pirates sponsorisé par la Chine est suspecté d'être à l'origine d'une série de cyberattaques contre des industries basées en Europe de l'Est. L'objectif de ces attaques : voler les données sur les systèmes air-gapped.

Kaspersky a mis en ligne un nouveau rapport qui évoque une série d'attaques qui a débuté en avril 2022 et lors desquelles les pirates sont parvenus à exfiltrer des données à partir de système air-gapped. Pourtant, par définition, un système air-gapped se veut isolé du réseau de l'entreprise et d'Internet pour des raisons de sécurité. Selon l'implémentation, cette isolation peut être physique. Comment les pirates sont-ils parvenus à exfiltrer des données sur ces systèmes sous cloche ?

Ce nouveau malware attribué au groupe de pirates APT31 alias Zirconium est associé à des attaques réalisées en plusieurs phases : "Au total, nous avons identifié plus de 15 implants et leurs variantes mis en place par les cybercriminels dans diverses combinaisons.", précise Kaspersky. Ainsi, il y a trois grandes catégories d'implants correspondantes à différentes phases de l'attaque.

  • Première phase pour bénéficier d'un accès permanent à distance, et procéder à la collecte initiale de données
  • Deuxième phase pour la collecte de données et de fichiers, y compris à partir de systèmes air-gapped
  • Troisième phase pour télécharger des données vers le C2

Pour parvenir à exfiltrer des données à partir de systèmes air-gapped, les cybercriminels s'appuient sur la propagation USB : ce qui implique que les informations transitent par des périphériques USB. Il est vrai qu'un périphérique USB peut être connecté sur une machine du réseau local, puis sur un système air-gapped, et inversement, ce qui permet de faire transiter des informations grâce à l'infection préalable du périphérique USB.

Sur le périphérique USB, les données sont stockées dans le répertoire "$RECYCLE.BIN" pour que ce soit discret. Avant tout cela, un premier module présent sur une machine va infecter les lecteurs amovibles en copiant un exécutable légitime de McAfee, mais vulnérable à la technique du DLL hijacking, ainsi qu'une DLL malveillante qui sert de charge utile. Ces fichiers sont cachés, tandis qu'un fichier LNK (raccourci), visible quant à lui, est créé de manière à déclencher l'infection si l'utilisateur l'ouvre.

Cette méthode montre qu'en l'absence de connectivité au reste du réseau Ethernet de l'entreprise, l'USB représente une belle opportunité.

Les données récupérées sont stockées dans une archive compressée avant d'être chargée vers un espace de stockage Dropbox ou Yandex Disk contrôlé par les pirates. Dans certains cas, c'est un serveur VPS qui a été utilisé pour réceptionner les données.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.