Une des révélations les plus intéressantes présentées par nos chercheurs au Sommet des Analystes de Sécurité Kaspersky (SAS) de cette année, est leur rapport sur une campagne très sophistiquée de cyberespionnage. Dans le passé, les pirates informatiques responsables de cette attaque ont ciblé pour la plupart des individus dans le cadre d’autres campagnes de cyberespionnage. Cependant, les entreprises peuvent tirer des leçons de ce cas : les cybercriminels peuvent adopter des techniques similaires et les utiliser contre les entreprises.
Vecteur d’attaque
Les voies d’infection sont la première chose à comprendre. Ce vecteur d’attaque initial est unique parce que, selon nos recherches, de nombreuses victimes ont été attaquées après avoir installé des routeurs compromis fabriqués par MikroTik. Les agresseurs ont trouvé comment compromettre ces appareils et les transformer en hardware cheval de Troie. Ils ont profité des utilitaires de configuration des routeurs pour télécharger et exécuter plusieurs fichiers DLL du routeur, dont un téléchargement de plusieurs fichiers malveillants qui ont également été sauvegardés sur le routeur.
Nous devons préciser que ce problème a été communiqué au fabricant et que MikroTik a déjà réglé le souci. Cependant, nos experts pensent que MikroTik n’est pas la seule marque utilisée par les acteurs de Slingshot. D’autres appareils sont peut-être compromis.
Un autre aspect intéressant de Slingshot est une astuce utilisée pour exécuter le malware en mode noyau. Il était pratiquement impossible d’utiliser cette méthode sur les systèmes d’exploitation mis à jour, par manque de vulnérabilités, mais ce malware télécharge d’abord les pilotes vulnérables signés, puis exécute son propre code.
Instruments malveillants
Le malware était composé de deux chefs-d’œuvre : un module en mode noyau appelé Cahnadr, et un module en mode utilisateur, GollumApp.
Lorsqu’il est exécuté en mode noyau, Cahnadr donne aux agresseurs un contrôle total, sans aucune limite, de l’ordinateur infecté. De plus, à l’inverse de la plupart des malwares qui essaient de travailler en mode noyau, celui-ci peut exécuter un code sans planter le système de fichiers ou provoquer un écran bleu. Le second programme, GollumApp, est encore plus sophistiqué. Il contient près de 1500 fonctions code d’utilisateur.
Grâce à ces modules, Slingshot peut recueillir les captures d’écran, les données saisies au clavier, les données de réseau, les mots de passe, les autres activités du bureau, le presse-papiers et bien d’autres. Tout cela sans exploiter les vulnérabilités immédiates. Au moins nos experts n’ont pas trouvé que Slingshot les utilisaient déjà.
Mécanisme d’anti-détection
Les nombreuses astuces utilisées par ses acteurs pour éviter d’être détectés rendent Slingshot particulièrement dangereux. Il peut même éteindre ses composants lorsqu’il détecte des signes qui peuvent indiquer une recherche des autorités. De plus, Slingshot utilise son propre système de fichier crypté. Vous pouvez trouver plus d’informations sur Slingshot en vous rendant sur Securelist.
Comment s’occuper des APT comme Slingshot
Si vous utilisez un routeur MikroTik et le logiciel de gestion WinBox, téléchargez la dernière version du programme, et vérifiez que le routeur a bien été mis à jour avec les dernières versions du système d’exploitation. Cependant, les mises à jour ne vous protègent que d’un seul vecteur d’attaque, pas de l’APT.
Vous devez mettre en place une approche stratégique pour protéger votre entreprise des attaques ciblées sophistiquées. Nous vous proposons la plateforme Threat Management and Defense. Cette plateforme comprend la plateforme Kaspersky Anti Targeted Attack, notre nouvelle solution Kaspersky Endpoint Detection and Response et des services d’experts.
Kaspersky Anti Targeted Attack vous permet de trouver les anomalies du trafic réseau, d’isoler les processus suspects, et de chercher des corrélations entre les événements. Kaspersky Endpoint Detection and Response permet de regrouper et de visualiser les données recueillies. Grâce à nos services d’experts, vous pouvez obtenir de l’aide à n’importe quel moment si vous rencontrez des incidents particulièrement difficiles, former votre personnel du centre de contrôles ou sensibiliser l’ensemble des employés de l’entreprise. Vous pouvez trouver plus d’informations sur cette solution ici.