Une attaque ciblée visant un énergéticien européen

Mi-mai, Ensilo avait mis la main sur Furtim, un logiciel malveillant conçu de sorte à le doter d’un niveau de furtivité remarquablement élevé. Cylance a publié la longue liste des vérifications qu’il opère pour échapper à la détection. Les équipes d’Ensilo, spécialisé dans la protection contre les suites des intrusions, notaient un serveur de commande et de contrôle hébergé sur un domaine russe lié à plusieurs adresses IP en Ukraine. Mais les questions restaient nombreuses : comment les victimes sont-elles infectées ? ou qui est visé ?

SentinelOne a peut-être des éléments de réponse. Les équipes de cette jeune pousse, qui mise sur l’analyse comportementale sur le poste de travail pour détecter le code malicieux, ont découvert une opération visant au moins un énergéticien européen en s’appuyant sur un logiciel malveillant là aussi hautement furtif. Et compte tenu de « la nature, du comportement et de la sophistication du logiciel malveillant, et des mesures extrêmes qu’il prend pour échapper à la détection, il renvoie probablement à une initiative soutenue par un Etat-nation, potentiellement en Europe de l’Est ». Ce logiciel malveillant sera un dropper, chargé de déposer la charge utile malveillante sur les systèmes compromis, et il serait actif depuis le mois de mai.

Dans un billet de blog, Joseph Landry, chercheur en sécurité sénior, et Udi Shamir, RSSI de SentinelOne, détaillent un impressionnant éventail de mécanismes furtifs. Tout d’abord, le logiciel malveillant semble conçu pour rendre particulièrement difficile l’analyse statique. Il s’appuie notamment sur un bloc de données chiffrées contenant trois éléments de code eux-mêmes chiffrés avec l’algorithme RC4, dont la charge utile finale. Un véritable jeu de poupées russes.

Mais le malware en question multiplie les vérifications pour prévenir toute analyse dynamique, en bac à sable. Il vérifie ainsi le type de processeur et son nombre de cœurs, constructeur de disque dur et d’autres composants, ou encore fournisseur du BIOS – qui peuvent trahir une machine virtuelle –, le nom de l’hôte, le nom de son propre fichier – « pour voir s’il s’agit d’un emplacement communément utilisé par les sandbox ». Il cherche également la présence de librairies dynamiques utilisées par les anti-virus pour détecter des comportements suspects, ou par les bacs à sable pour enregistrer une trace des activités d’un processus. Le logiciel cherche également des dossiers et fichiers, ainsi que des modules de noyau associés à des logiciels de mise en bac à sable, comme le bien connu Cuckoo, ou des anti-virus.

Mais il y a mieux, et « c’est là que l’auteur prépare une attaque sur la psyché de l’analyse [de sécurité]. Jusqu’ici, le processus se contente de détecter sandbox, machine virtuelle et antivirus ». Mais il cherche également des outils « qui sont généralement lancés manuellement pas un analyste ». Et il ne les arrête pas immédiatement lorsqu’il les trouve : « en retardant leur arrêt à une partie ultérieure du processus, il peut donner des cauchemars à quelques analystes ».