pixel_dreams - Fotolia
APT28 fait la démonstration d’une rapidité impressionnante
Suivi de près par les spécialistes de la sécurité, ce groupe, également appelé Pawn Storm, est suspecté d’être lié au gouvernement russe. Il étonne par la réactivité dont il sait faire preuve.
Une heure et demi. C’est le temps qui s’est écoulé entre la détection d’un premier implant malicieux, et la compilation et distribution de sa version suivante sur l’infrastructure d’une cible du groupe APT28, cet été.
Dans un billet de blog, Kaspersky précise que ses outils avaient réussi à bloquer la première version de l’implant Azzy du groupe également appelé Sofacy ou encore Pawn Storm, notamment par Trend Micro, sur la base de signatures statiques, avant que la seconde n’apparaisse, bloquée à son tour, mais cette fois-ci par les mécanismes de prévention d’intrusion de la suite de l’éditeur russe.
Autre surprise : ces logiciels malveillants n’étaient pas injectés via l’exploitation d’une vulnérabilité inédite, mais téléchargés par un autre mécanisme, « installé par une attaque inconnue ». Et celui-ci marque une nouvelle étape dans l’approche modulaire adoptée par ATP28 : les fonctions de communication avec les centres de commande et de contrôle sont déportées dans une DLL ; précédemment, elles étaient codées dans le registre de Windows.
En outre, l’implant Azzy est désormais doté de fonctions dédiées au vol de données sur les machines protégées des réseaux ouverts sur l’extérieur de l’infrastructure par une séparation physique, notamment en s’appuyant sur les périphériques USB.
Kaspersky précise que le groupe Sofacy a entamé une nouvelle vague d’attaques durant l’été dernier, et continue de viser activement les acteurs du secteur de la défense.
Fin octobre, Trend Micro indiquait que les attaquants du groupe Pawn Storm avaient « visé le Bureau de la Sureté Danois (DSB), chargé de l’enquête sur la destruction du vol MH17 », en Ukraine, en juillet 2014. L’opération aurait notamment visé un serveur VPN et un serveur SFTP, le 14 octobre dernier, soit une journée après la diffusion du rapport final du DSB. Les attaquants auraient également tenté de collecter des identifiants de messagerie électronique des enquêteurs.
Un peu plus tôt, Trend Micro indiquait avoir observé le groupe viser régulièrement des cibles « sensibles politiques, militaires et diplomatiques, aux Etats-Unis, parmi les alliés de l’Otan, mais aussi en Ukraine et des dissidents russes ». De quoi renforcer des suspicions bien établies de liens entre Pawn Storm et le Kremlin.