Des recherches récentes d'ESET ont mis au jour des détails sur le successeur du groupe APT BlackEnergy, dont les principaux outils ont été vus pour la dernière fois en décembre 2015 lors de la toute première panne de courant causée par une cyberattaque. Au moment de cet incident révolutionnaire, alors qu'environ 230 000 personnes étaient privées d'électricité, nous avons commencé à détecter une autre structure de logiciels malveillants, que nous avons l'avons appelé GreyEnergy. Depuis trois ans, celle-ci a été utilisé pour attaquer des entreprises du secteur de l’énergie et d'autres cibles de grande valeur en Ukraine et en Pologne.
Il est important de noter que lorsque nous décrivons les groupes APT, nous établissons des liens basés sur des indicateurs techniques tels que les similarités de code, l'infrastructure C&C partagée, les chaînes d'exécution de logiciels malveillants, etc. Nous ne participons généralement pas directement à l'enquête et à l'identification des personnes qui ont écrit le logiciel malveillant ou qui l'ont déployé, ni aux relations entre celles-ci. En outre, le terme « groupe APT » est défini de façon très vague et souvent utilisé simplement pour regrouper les indicateurs de logiciels malveillants susmentionnés. C'est également l'une des raisons pour lesquelles nous nous abstenons de spéculer sur l'attribution d'attaques à des États-nations, notamment.
Nous avons déjà largement documenté la transition des acteurs de cette menace vers les TeleBots dans les cyberattaques contre des cibles de choix dans le secteur financier ukrainien, les attaques contre les chaînes d'approvisionnement ukrainiennes, en plus d’avoir réalisé une analyse d'une backdoor astucieuse de TeleBots. Toutes ces attaques sont le fait de l’infâme groupe qui est surtout connu pour la flambée du rançongiciel NotPetya. Dans le même temps, nous avons également surveillé de près GreyEnergy, sous-groupe fonctionnant en parallèle de ce groupe de cyberattaquants, mais dont les motivations et le ciblage diffèrent quelque peu.
Bien que les données de télémétrie ESET illustrent l'activité des logiciels malveillants GreyEnergy au cours des trois dernières années, ce groupe APT n'a pas encore été documenté. Cela est probablement dû au fait que cses activités n'ont pas été de nature destructrice, contrairement aux nombreuses campagnes de rançongiciels de TeleBots (pas seulement NotPetya), à l'attaque du réseau électrique avec BlackEnergy et à la panne causée par Industroyer, que nous avons pu relier à ces groupes pour la première fois la semaine dernière. Au contraire, les acteurs de la menace derrière GreyEnergy se sont efforcés de passer sous le radar, se concentrant sur l'espionnage et la reconnaissance, très probablement en préparation de futures attaques de cybersabotage ou afin de frayer la voie à une opération menée par un autre groupe APT.
La structure de logiciels malveillants de GreyEnergy présente de nombreuses similitudes avec celle de BlackEnergy, comme nous le présentons ci-dessous. De construction modulaire similaire, sa fonctionnalité dépend donc de la combinaison particulière de modules que son opérateur télécharge sur chacun des systèmes victimes ciblés. Les modules que nous avons observés ont été utilisés à des fins d'espionnage et de reconnaissance (on parle ici de backdoor, d’extraction de fichiers, de la prise de captures d'écran, de l’enregistrement de frappe, du vol de mots de passe et d’informations d’accès, entre autres). Nous n'avons observé aucun module ciblant spécifiquement les systèmes de contrôle industriel (ou ICS, pour Industrial Control Systems). Nous avons toutefois observé que les opérateurs de GreyEnergy ont stratégiquement ciblé les postes de travail de contrôle ICS exécutant des logiciels et des serveurs SCADA, qui constituent généralement des systèmes essentiels à la mission, qui ne doivent jamais être mis hors ligne, sauf lors de la maintenance périodique.
Liens vers BlackEnergy et TeleBots
Voici quelques-unes des raisons pour lesquelles les chercheurs d'ESET jugent que BlackEnergy et GreyEnergy sont reliées :
- L'apparition de GreyEnergy dans la nature coïncide avec la disparition de BlackEnergy.
- Au moins l’une des victimes ciblées par GreyEnergy avait été ciblée par BlackEnergy dans le passé. Les deux sous-groupes partagent un intérêt commun pour le secteur de l'énergie et les infrastructures essentielles. Les deux ont ciblé des victimes situées principalement en Ukraine; la Pologne arrive au deuxième rang de leur tableau de chasse.
- On observe de fortes similitudes architecturales entre leur structure de logiciels malveillants. Les deux sont modulaires, et les deux utilisent une "mini", ou légère backdoor, déployée avant l'obtention des droits d'administration et le déploiement de la version complète.
- Tous les serveurs C&C distants utilisés par le logiciel malveillant de GreyEnergy étaient des relais Tor actifs. C’était également le cas de BlackEnergy et d’Industroyer. Nous supposons qu'il s'agit d'une technique de sécurité opérationnelle utilisée par le groupe, afin que les opérateurs puissent se connecter secrètement à ces serveurs.
Comparativement à BlackEnergy, GreyEnergy est un toolkit plus moderne, qui insiste davantage sur la furtivité. L’une des techniques de discrétion de base, qui est utilisée par ces deux familles, est de diffuser uniquement les modules sélectionnés aux victimes désignées, et ce, uniquement lorsque c’est nécessaire. Qui plus est, les modules de GreyEnergy sont partiellement chiffrés, par l’utilisation d’AES-256. Certains demeurent même « sans fichiers » (fileless) – exécutés exclusivement dans la mémoire – avec l’intention d’empêcher l’analyse ou la détection. En général, les opérateurs GreyEnergy suppriment sécuritairement les composants malveillants du disque dur de leurs victimes, afin de couvrir leurs traces.
En plus des similarités avec BlackEnergy exposées ci-dessus, nous avons observé un autre lien entre GreyEnergy et sous-groupe TeleBots. En décembre 2016, nous avons remarqué un cas où GreyEnergy déployait une version antérieure du ver TeleBots, de NotPetya. Ceci s’est déroulé environ un semestre avant que ce ver ne soit altéré, amélioré et déployé dans l’épidémie de rançongiciel la plus destructrice de l’histoire. On peut de plus observer une réutilisation significative du code entre cette composante de rançongiciel et le module de base de GreyEnergy. Nous appelons cette version initiale « Moonraker Petya », à cause des noms de fichier choisis par les auteurs du logiciel malveillant. Il s’agit vraisemblablement d’une référence au film de James Bond. Cette version n’incluait pas le tristement célèbre mécanisme de dispersion EternalBlue, qui n’avait pas encore été répandu à cette époque.
Tactiques, techniques et procédés de GreyEnergy
Nous avons observé deux vecteurs d’infection distincts : le harponnage (ou spearphishing) « traditionnel », et la compromission de serveurs Web destinés au public. Lorsque l’un de ces serveurs Web vulnérables est hébergé à l’interne et connecté au reste du réseau de l’organisation ciblée, l’attaquant tente de se faufiler latéralement à d’autres postes de travail. Cette technique est utilisée non seulement comme vecteur d'infection primaire, mais aussi comme vecteur de réinfection de secours.
Les attaquants déploient généralement des proxy C&C internes dans les réseaux de leurs victimes. Ces proxy C&C redirigent les requêtes provenant de nœuds infectés vers un serveur C&C externe sur Internet. C’est là une autre tactique de dissimulation, puisqu’il parait moins suspect aux yeux d’un défenseur de voir que plusieurs ordinateurs communiquent avec un serveur interne, plutôt qu'avec un serveur distant.
Fait surprenant que nous avons observé, qui indique également le ciblage du groupe : certains des échantillons de GreyEnergy que nous avons détectés étaient avec un certificat de Advantech, un manufacturier taiwanais de matériaux industriels et de l’Internet de l’Objet. Ceux-ci ont vraisemblablement été volés à l’entreprise, comme c’était le cas avec Stuxnet et une campagne récente de logiciel malveillante de Plead.
Les opérateurs de GreyEnergy disposent aussi d’outils externes courants dans leur arsenal, tels que Mimikatz, PsExec, WinExe, Nmap et un scanner de port personnalisé.
Pour une analyse détaillée de la trousse à outils de GreyEnergy et de ses opérations, consultez notre White Paper GreyEnergy: A successor to BlackEnergy. Une liste complète des Indicateurs de compromissions (IoC) et des échantillons est disponible sur GitHub. Pour toute question, ou pour soumettre des échantillons pertinents à ce propos, veuillez nous contacter : threatintel@eset.com.
For more information about how to protect yourself you can visit our website and find out more about GreyEnergy.
Pour de plus amples renseignements sur la façon de vous protéger, vous pouvez visiter notre site Web et en apprendre davantage sur GreyEnergy.