Tweet
Malware Rocra : les chercheurs à la poursuite de Red October
Sécurité : Kaspersky Lab vient de mettre au jour une attaque inédite. Red October, diminué en Rocra, aurait aspiré des informations d'organisations d'Etat de toute la planète pendant cinq ans, et serait toujours actif.
En début de semaine, le laboratoire de recherche de l'éditeur de solutions antivirus Kaspersky, Kaspersky Lab, a publié la première partie d'un rapport sur l'attaque d'un malware au niveau mondial. Particulièrement concentré sur l'Europe de l'Est et l'Asie centrale, et a priori menée par des criminels russophones, le malware a été baptisé Red October (Octobre rouge), diminué en Rocra.
Aucun lien avec Duqu, Flame ou Gauss, prévient Kaspersky Lab. Ce qu'on sait, c'est que des données auraient été aspirées depuis des machines d'organisations gouvernementales, militaires, diplomatiques, industrielles, énergétiques, etc, pendant au moins cinq ans. Et que l'attaque serait toujours active.
Il est aujourd'hui impossible de savoir ce que sont devenues les données, et on attend la deuxième partie du rapport dans les prochains jours. Découvert par un partenaire de l'éditeur, l'attaque a fait l'objet d'une enquête de Kaspersky Lab depuis octobre 2012.
Avec un point de départ assez classique : l'envoi d'emails de phishing à partir de boîtes anonymes ou de boîtes situées sur des réseaux déjà infectés...
Modalités d'infiltration
Il semble qu'une chose est sûre : il ne s'agit pas d'une attaque 0-Day. Toutes les failles exploitées par les attaquants derrière Red October étaient a priori connues, parfois depuis longtemps.
Ce qui signifie qu'elles ont pu être utilisées pour cause de négligence, soit de la part des utilisateurs finaux - pas de mise-à-jour de sécurité sur les versions des logiciels piratés, soit de la part des éditeurs - des failles qui n'auraient pas été comblées.
Selon le rapport initial de Kaspersky Lab, trois niveaux d'exploits au minimum auraient utilisé des vulnérabilités déjà connues. Dans sa version courte, le rapport pointe une faille de Microsoft Excel (CVE-2009-3129) et deux failles de Microsoft Word (CVE-2010-3333 et CVE-2012-0158).
Les dates, présentes dans les codes d'identification de ces failles, les font remonter à au moins un an. Des attaques les auraient déjà exploitées entre 2009 et 2011, rapporte Kaspersky Lab.
Techniquement, les failles auraient été exploitées via l'envoi d'un email de phishing contenant une pièce jointe corrompue, au format Word ou Excel. Selon labase de données américaine des vulnérabilités
, ce type d'exploit "nécessite une interaction de la victime avec le mécanisme d'attaque."
Une fois ce point d'entrée installé dans la machine, explique Kaspersky Lab, il "peut ensuite télécharger des modules utilisés pour la migration" sur le réseau interne de l'entreprise. Le rapport précise que le malware n'agit pas comme un ver : il ne se propagera pas de lui-même sur le réseau.
"Les attaquants vont récupérer des informations sur le réseau pendant quelques jours, identifier les systèmes clés, et enfin déployer les modules qui peuvent compromettre d'autres ordinateurs sur le réseau, par exemple en utilisant l'exploit MS08-067" (vulnérabilité d'exécution du code à distance documentée par Microsoft depuis 2009).
La perspective Java
Le lendemain de la publication du rapport initial par Kaspersky Lab, le spécialiste de la sécurité Seculert a apporté une précision utile à la compréhension de la méthode d'infiltration. Selon cette entreprise
, une autre faille aurait pu être exploitée.
Cette fois-ci, il ne s'agit pas d'un phishing utilisant des failles de Word ou Excel, mais d'un vecteur d'attaque tout autre : selon Seculert, les attaquants auraient profité d'une vulnérabilité de Java (CVE-2011-3544) pour "télécharger et exécuter le malware automatiquement en tâche de fond."
Rien à voir avec la faille détectée par le chercheur @kafeine ces derniers jours. La vulnérabilité en question est connue depuis longtemps, et a même été corrigée par un patch dès octobre 2011. Ce qui signifie que les versions de l'applet Java exploitées n'étaient pas à jour.
La technique est relativement similaire : un email de phishing. Sauf que celui-ci ne contient pas de pièce jointe mais un lien vers un site corrompu et capable d'exploiter la faille de Java.
Sur Securelist, Kaspersky Lab a réagi dès ce matin à la découverte de Seculert. Il semble confirmer que cet exploit baptisé "Rhino" a pu être mis à contribution. "Cependant, il semble que ce vecteur n'a pas été massivement utilisé par le groupe," précise l'article.
Plus précisément, Kaspersky Lab estime que "le groupe a délivré avec succès son malware pendant quelques jours aux cibles visées, puis n'a plus eu besoin de faire cet effort. Ce qui peut aussi signifier que le groupe (...) a eu besoin de changer sa technique pour utiliser Java au début du mois de février 2012. Puis qu'il est revenu à sa méthode de spear phishing [variante du phishing par des méthodes d'ingénierie sociale]."
Routine d'aspiration des données
Dans les deux cas, le résultat a été le même : l'installation d'un exécutable capable d'obéir à distance aux serveurs de Command and Control (C&C), en charge du pilotage de l'attaque. L'ouverture de cette porte dérobée a donc permis de connecter directement la chaîne de serveurs C&C aux machines infectées.
Des serveurs de ce type, Kaspersky Lab en a identifié plus d'une soixantaine. Une fois la porte dérobée mise en place, des modules supplémentaires ont pu être téléchargés sur les appareils touchés.
Le spécialiste de la sécurité a identifié plus de 30 modules, reliés à plus d'un millier de fichiers malveillants. Donc un module particulièrement important, "essentiellement créé pour être implémenté dans Adobe Reader et les applications Microsoft Office. (...) [Il a pu permettre] de retrouver l'accès à aux machines infectées en cas de suppression ou d'extinction inattendue des serveurs C&C."
Au final, Kaspersky Lab a pu découvrir que les fichiers malveillants utilisés avaient presque tous été créés entre mai 2010 et octobre 2012. Les attaques, quant à elles, auraient été mises en place à partir de mai 2007, précise le spécialiste.
D'où vient l'attaque ?
Le problème, avec la structure mise en place par les cybercriminels, c'est qu'elle ne permet évidemment pas de remonter facilement à la source. La soixantaine de serveurs C&C identifiés agissent comme une chaîne de proxy qui brouillent les pistes, protégeant ainsi le serveur C&C d'origine.
La liste des principaux domaines utilisés peut être trouvée dans le rapport complet de Kaspersky Lab
. Ils ont tous été enregistrés par les attaquants entre novembre 2007 et mai 2012, la plupart via le service russe reg.ru.
Ces domaines pointant "vers plusieurs serveurs malveillants", les chercheurs se sont dirigés vers ceux-ci pour en découvrir une dizaine avec un comportement effectivement répréhensible. La plupart sont situés en Russie et en Allemagne, mais la localisation du dernier n'est pas claire : il peut s'agir de l'Espagne, de l'Autriche ou du Royaume-Uni.
La structure des serveurs "proxy" est double : des serveurs cachent d'autres serveurs qui eux-mêmes dissimulent le serveur C&C d'origine. Autant dire que ce dernier est inconnu. Aucune localisation précise n'est possible à l'heure actuelle.
Cependant, Kaspersky Lab met en avant deux choses importantes : "les exploits ont visiblement été créés par des hackers chinois" et "les modules du malware Rocra ont été créé par des opérationnels de langue russe." Le laboratoire de chercheurs se base sur les noms de modules d'origine russophone pour cette assertion, mais précise : "Actuellement, il n'y a aucune preuve permettant de relier [cette attaque] à une attaque soutenue par un Etat."
Victimes et données aspirées
C'est à ce point du rapport que l'attaque devient réellement exceptionnelle : quelle que soit la complexité de la structure (notamment au niveau des serveurs proxy) ou le mode de phishing utilisé, tout ceci ne semble jusqu'à maintenant qu'une attaque assez banale.
Sauf que les cibles, par leur ampleur comme par leur identité, sont loin de l'être, elles. Ainsi, les modules mis en place ont été identifiés sur au moins 300 machines.
Kaspersky Lab en a retrouvé dans le monde entier, mais a essentiellement pu identifier des réseaux d'ambassades, d'agences gouvernementales (dont militaires) et d'organisations scientifiques en Europe de l'Est, dans les anciens Etats de l'Union soviétique et en Asie centrale.
L'Amérique du Nord et l'Europe de l'Ouest ont également été touchées dans une moindre mesure, précisent les chercheurs. Les pays les plus touchés sont, dans l'ordre, la Fédération de Russie, le Kazakhstan, l'Azerbaïdjan, la Belgique, l'Inde, l'Afghanistan, l'Arménie, l'Iran, etc. La France aurait été visée (ambassades et infrastructures militaires) mais n'est qu'au 22ème rang des victimes.
Les secteurs économiques, gouvernementaux, militaires, nucléaires (et énergétiques en général), l'aérospatial... La liste est longue et le rapport précise qu'il est possible "qu'il y ait d'autres secteurs ciblés qui n'ont pas été découverts ou qui ont été attaqués par le passé."
Des fichiers textes, des données de contacts, des clés de sécurité ont été aspirés. Ainsi que des documents au format "acid ", précise Kaspersky Lab, qui explique qu'il s'agit d'une extension "qui se réfère au logiciel classifié "Acid Cryptofiler" utilisé par plusieurs organisations comme l'Union européenne ou l'OTAN."
Qui plus est, les modules installés par le malware Rocra ont la capacité de "voler des données d'appareils mobiles, comme des smartphones (iPhone, Nokia, Windows Mobile), faire tomber la configuration des équipements réseau de l'entreprise (Cisco), capturer des fichiers de disques durs externes (y compris les fichiers déjà supprimés), voler des bases de données d'emails depuis le stockage local d'Outlook ou des serveurs à distance POP/IMAP et siphonner les fichiers de serveurs FTP sur le réseau local."
Assez exceptionnel, quand on sait que l'attaque a duré plus de cinq ans et se poursuit probablement.
Document d'analyse de Kaspersky Labs
Source ZDNET.
En début de semaine, le laboratoire de recherche de l'éditeur de solutions antivirus Kaspersky, Kaspersky Lab, a publié la première partie d'un rapport sur l'attaque d'un malware au niveau mondial. Particulièrement concentré sur l'Europe de l'Est et l'Asie centrale, et a priori menée par des criminels russophones, le malware a été baptisé Red October (Octobre rouge), diminué en Rocra.
Aucun lien avec Duqu, Flame ou Gauss, prévient Kaspersky Lab. Ce qu'on sait, c'est que des données auraient été aspirées depuis des machines d'organisations gouvernementales, militaires, diplomatiques, industrielles, énergétiques, etc, pendant au moins cinq ans. Et que l'attaque serait toujours active.
Il est aujourd'hui impossible de savoir ce que sont devenues les données, et on attend la deuxième partie du rapport dans les prochains jours. Découvert par un partenaire de l'éditeur, l'attaque a fait l'objet d'une enquête de Kaspersky Lab depuis octobre 2012.
Avec un point de départ assez classique : l'envoi d'emails de phishing à partir de boîtes anonymes ou de boîtes situées sur des réseaux déjà infectés...
Modalités d'infiltration
Il semble qu'une chose est sûre : il ne s'agit pas d'une attaque 0-Day. Toutes les failles exploitées par les attaquants derrière Red October étaient a priori connues, parfois depuis longtemps.
Ce qui signifie qu'elles ont pu être utilisées pour cause de négligence, soit de la part des utilisateurs finaux - pas de mise-à-jour de sécurité sur les versions des logiciels piratés, soit de la part des éditeurs - des failles qui n'auraient pas été comblées.
Selon le rapport initial de Kaspersky Lab, trois niveaux d'exploits au minimum auraient utilisé des vulnérabilités déjà connues. Dans sa version courte, le rapport pointe une faille de Microsoft Excel (CVE-2009-3129) et deux failles de Microsoft Word (CVE-2010-3333 et CVE-2012-0158).
Les dates, présentes dans les codes d'identification de ces failles, les font remonter à au moins un an. Des attaques les auraient déjà exploitées entre 2009 et 2011, rapporte Kaspersky Lab.
Techniquement, les failles auraient été exploitées via l'envoi d'un email de phishing contenant une pièce jointe corrompue, au format Word ou Excel. Selon labase de données américaine des vulnérabilités
, ce type d'exploit "nécessite une interaction de la victime avec le mécanisme d'attaque."
Une fois ce point d'entrée installé dans la machine, explique Kaspersky Lab, il "peut ensuite télécharger des modules utilisés pour la migration" sur le réseau interne de l'entreprise. Le rapport précise que le malware n'agit pas comme un ver : il ne se propagera pas de lui-même sur le réseau.
"Les attaquants vont récupérer des informations sur le réseau pendant quelques jours, identifier les systèmes clés, et enfin déployer les modules qui peuvent compromettre d'autres ordinateurs sur le réseau, par exemple en utilisant l'exploit MS08-067" (vulnérabilité d'exécution du code à distance documentée par Microsoft depuis 2009).
La perspective Java
Le lendemain de la publication du rapport initial par Kaspersky Lab, le spécialiste de la sécurité Seculert a apporté une précision utile à la compréhension de la méthode d'infiltration. Selon cette entreprise
, une autre faille aurait pu être exploitée.
Cette fois-ci, il ne s'agit pas d'un phishing utilisant des failles de Word ou Excel, mais d'un vecteur d'attaque tout autre : selon Seculert, les attaquants auraient profité d'une vulnérabilité de Java (CVE-2011-3544) pour "télécharger et exécuter le malware automatiquement en tâche de fond."
Rien à voir avec la faille détectée par le chercheur @kafeine ces derniers jours. La vulnérabilité en question est connue depuis longtemps, et a même été corrigée par un patch dès octobre 2011. Ce qui signifie que les versions de l'applet Java exploitées n'étaient pas à jour.
La technique est relativement similaire : un email de phishing. Sauf que celui-ci ne contient pas de pièce jointe mais un lien vers un site corrompu et capable d'exploiter la faille de Java.
Sur Securelist, Kaspersky Lab a réagi dès ce matin à la découverte de Seculert. Il semble confirmer que cet exploit baptisé "Rhino" a pu être mis à contribution. "Cependant, il semble que ce vecteur n'a pas été massivement utilisé par le groupe," précise l'article.
Plus précisément, Kaspersky Lab estime que "le groupe a délivré avec succès son malware pendant quelques jours aux cibles visées, puis n'a plus eu besoin de faire cet effort. Ce qui peut aussi signifier que le groupe (...) a eu besoin de changer sa technique pour utiliser Java au début du mois de février 2012. Puis qu'il est revenu à sa méthode de spear phishing [variante du phishing par des méthodes d'ingénierie sociale]."
Routine d'aspiration des données
Dans les deux cas, le résultat a été le même : l'installation d'un exécutable capable d'obéir à distance aux serveurs de Command and Control (C&C), en charge du pilotage de l'attaque. L'ouverture de cette porte dérobée a donc permis de connecter directement la chaîne de serveurs C&C aux machines infectées.
Des serveurs de ce type, Kaspersky Lab en a identifié plus d'une soixantaine. Une fois la porte dérobée mise en place, des modules supplémentaires ont pu être téléchargés sur les appareils touchés.
Le spécialiste de la sécurité a identifié plus de 30 modules, reliés à plus d'un millier de fichiers malveillants. Donc un module particulièrement important, "essentiellement créé pour être implémenté dans Adobe Reader et les applications Microsoft Office. (...) [Il a pu permettre] de retrouver l'accès à aux machines infectées en cas de suppression ou d'extinction inattendue des serveurs C&C."
Au final, Kaspersky Lab a pu découvrir que les fichiers malveillants utilisés avaient presque tous été créés entre mai 2010 et octobre 2012. Les attaques, quant à elles, auraient été mises en place à partir de mai 2007, précise le spécialiste.
D'où vient l'attaque ?
Le problème, avec la structure mise en place par les cybercriminels, c'est qu'elle ne permet évidemment pas de remonter facilement à la source. La soixantaine de serveurs C&C identifiés agissent comme une chaîne de proxy qui brouillent les pistes, protégeant ainsi le serveur C&C d'origine.
La liste des principaux domaines utilisés peut être trouvée dans le rapport complet de Kaspersky Lab
. Ils ont tous été enregistrés par les attaquants entre novembre 2007 et mai 2012, la plupart via le service russe reg.ru.
Ces domaines pointant "vers plusieurs serveurs malveillants", les chercheurs se sont dirigés vers ceux-ci pour en découvrir une dizaine avec un comportement effectivement répréhensible. La plupart sont situés en Russie et en Allemagne, mais la localisation du dernier n'est pas claire : il peut s'agir de l'Espagne, de l'Autriche ou du Royaume-Uni.
La structure des serveurs "proxy" est double : des serveurs cachent d'autres serveurs qui eux-mêmes dissimulent le serveur C&C d'origine. Autant dire que ce dernier est inconnu. Aucune localisation précise n'est possible à l'heure actuelle.
Cependant, Kaspersky Lab met en avant deux choses importantes : "les exploits ont visiblement été créés par des hackers chinois" et "les modules du malware Rocra ont été créé par des opérationnels de langue russe." Le laboratoire de chercheurs se base sur les noms de modules d'origine russophone pour cette assertion, mais précise : "Actuellement, il n'y a aucune preuve permettant de relier [cette attaque] à une attaque soutenue par un Etat."
Victimes et données aspirées
C'est à ce point du rapport que l'attaque devient réellement exceptionnelle : quelle que soit la complexité de la structure (notamment au niveau des serveurs proxy) ou le mode de phishing utilisé, tout ceci ne semble jusqu'à maintenant qu'une attaque assez banale.
Sauf que les cibles, par leur ampleur comme par leur identité, sont loin de l'être, elles. Ainsi, les modules mis en place ont été identifiés sur au moins 300 machines.
Kaspersky Lab en a retrouvé dans le monde entier, mais a essentiellement pu identifier des réseaux d'ambassades, d'agences gouvernementales (dont militaires) et d'organisations scientifiques en Europe de l'Est, dans les anciens Etats de l'Union soviétique et en Asie centrale.
L'Amérique du Nord et l'Europe de l'Ouest ont également été touchées dans une moindre mesure, précisent les chercheurs. Les pays les plus touchés sont, dans l'ordre, la Fédération de Russie, le Kazakhstan, l'Azerbaïdjan, la Belgique, l'Inde, l'Afghanistan, l'Arménie, l'Iran, etc. La France aurait été visée (ambassades et infrastructures militaires) mais n'est qu'au 22ème rang des victimes.
Les secteurs économiques, gouvernementaux, militaires, nucléaires (et énergétiques en général), l'aérospatial... La liste est longue et le rapport précise qu'il est possible "qu'il y ait d'autres secteurs ciblés qui n'ont pas été découverts ou qui ont été attaqués par le passé."
Des fichiers textes, des données de contacts, des clés de sécurité ont été aspirés. Ainsi que des documents au format "acid ", précise Kaspersky Lab, qui explique qu'il s'agit d'une extension "qui se réfère au logiciel classifié "Acid Cryptofiler" utilisé par plusieurs organisations comme l'Union européenne ou l'OTAN."
Qui plus est, les modules installés par le malware Rocra ont la capacité de "voler des données d'appareils mobiles, comme des smartphones (iPhone, Nokia, Windows Mobile), faire tomber la configuration des équipements réseau de l'entreprise (Cisco), capturer des fichiers de disques durs externes (y compris les fichiers déjà supprimés), voler des bases de données d'emails depuis le stockage local d'Outlook ou des serveurs à distance POP/IMAP et siphonner les fichiers de serveurs FTP sur le réseau local."
Assez exceptionnel, quand on sait que l'attaque a duré plus de cinq ans et se poursuit probablement.
Document d'analyse de Kaspersky Labs
Source ZDNET.