Le groupe APT28 vise les Mac de l’industrie aéronautique

Les chercheurs de la division 42 de Palo Alto Networks ont découvert un nouveau cheval de Troie destiné aux ordinateurs personnels signés Apple. Surnommé Komplex, il ciblerait spécifiquement les utilisateurs de Mac de l’industrie de l’aéronautique et aurait été « utilisé dans une précédente campagne exploitant une vulnérabilité dans l’application antivirus MacKeeper » pour sa distribution.

Au cours de leurs analyses, les chercheurs ont relevé que « Komplex partage une quantité significative de fonctionnalités et de caractéristiques avec un autre outil utilisé par le groupe Sofacy », une variante de Carberp, un logiciel malveillant ciblant les systèmes fonctionnant sous Windows.

Ce sont ces ressemblances ainsi que les domaines utilisés pour les serveurs de commande et de contrôle de Komplex qui ont justement amené les chercheurs de Palo Alto Networks à l’attribuer à Sofacy, aussi connu sous les noms d’APT 28, Pawn Storm ou encore Fancy Bear.

Ce groupe est suspecté d’être à l’origine de l’une des attaques ayant visé le conseil national du parti démocrate américain. Depuis plusieurs années, il est soupçonné d’être lié à l’appareil gouvernemental russe. FireEye et iSight Partners ont évoqués ces liens suspectés fin 2014. A l’automne dernier, Trend Micro a assuré que le groupe avait visé le Bureau de Sureté Danois chargé de l’enquête sur la destruction du vol MH17, en Ukraine, en juillet 2014. L’an passé, diverses sources nous avaient confirmé la présence de binaires imputables à APT28 sur les systèmes compromis au sein de la chaîne de télévision TV5 Monde.

Le cheval de Troie Komplex apparaît conçu pour pouvoir compromettre les systèmes 32 et 64 bits. Pour leurrer sa victime, il s’appuie sur un faux document PDF, prétendument lié au programme spatial russe, et installe un exécutable qui se lance à chaque démarrage du système, via un script shell. La véritable charge utile se charge de vérifier qu’elle n’est pas exécutée dans un environnement de débuggage, puis qu’elle accède bien à Internet. De là, elle peut commencer à communiquer avec les serveurs de commande et de contrôle, via des échanges chiffrés utilisant le protocole http. Et cela commence par la transmission d’informations sur le poste compromis.

Dans leur billet de blog, les équipes de Palo Alto fournissent des indicateurs de compromission détaillés, dont plusieurs domaines utilisés pour les serveurs de commande et de contrôle.