La campagne Energetic Bear, renommée Crouching Yeti, se caractérise entre autres par de nouveaux outils malveillants et une liste étendue de victimes. Kaspersky Laben a fait une analyse complète et approfondie.
Si les origines de cette campagne remontent à la fin de l’année 2010, celle-ci n’en est pas moins extrêmement virulente aujourd’hui, ciblant chaque jour de nouvelles victimes. Le malware Energetic Bear / Crouching Yeti est impliqué dans plusieurs campagnes de menaces persistantes avancées (APT). Selon l’étude de Kaspersky Lab, ses victimes paraissent représenter un plus grand nombre d’entreprises que ce qui avait été supposé jusque-là. Les plus nombreuses appartiennent aux secteurs suivants :
Processus industriels/machines-outils
Fabrication
Industrie pharmaceutique
Bâtiment
Education
Informatique
Le nombre total de victimes recensées à travers le monde dépasse 2 800, parmi lesquelles les chercheurs de Kaspersky Lab ont pu identifier 101 entreprises. L’ampleur de cette liste semble indiquer un intérêt de Crouching Yeti pour des cibles stratégiques mais aussi pour de nombreuses autres institutions moins en vue. Selon les experts de Kaspersky Lab, il pourrait s’agir de victimes collatérales mais l’on pourrait tout aussi bien considérer Crouching Yeti à la fois comme une campagne très ciblée dans des domaines spécifiques et comme une campagne de surveillance ratissant plus large dans différents secteurs.
Les entreprises attaquées se situent essentiellement aux Etats-Unis, en Espagne, au Japon ainsi qu’en Allemagne, France, Italie, Turquie, Irlande, Pologne et Chine. Compte tenu de la nature des victimes identifiées, le principal risque pour elles est la fuite d’informations très sensibles telles que des secrets de fabrication et du savoir-faire.
Des outils malveillants avec de multiples modules supplémentaires
Crouching Yeti n’est pas vraiment une campagne sophistiquée. Par exemple, les auteurs des attaques n’ont pas exploité de failles « zero day » mais uniquement des vulnérabilités largement documentées sur Internet. Cela n’empêche toutefois pas cette campagne d’être active depuis plusieurs années.
Les chercheurs de Kaspersky Lab ont découvert des indices signalant l’existence de cinq types d’outils malveillants employés par les auteurs des attaques pour dérober des informations clés sur les systèmes infectés :
Havex (cheval de Troie)
Sysmain (cheval de Troie)
The ClientX (backdoor)
Karagany (backdoor et stealers apparentés)
Outils indirects de type « lateral movement » et « second stage »
L’outil le plus largement utilisé est le cheval de Troie Havex. Au total, les chercheurs de Kaspersky Lab ont découvert pas moins de 27 versions distinctes de ce programme malveillant ainsi que plusieurs modules annexes, notamment destinés à la collecte de données auprès de systèmes de contrôle de processus industriels.
En ce qui concerne les serveurs C&C, Havex et les autres outils malveillants de Crouching Yeti se connectent à un vaste réseau de sites Web piratés. Ces derniers hébergent les adresses des victimes et diffusent vers les systèmes infectés des commandes ainsi que des modules de malware complémentaires.
Ces modules téléchargeables servent en particulier à dérober des mots de passe et des contacts Outlook, à effectuer des captures d’écran mais aussi à rechercher et subtiliser certains types de fichiers : documents texte, tableurs, bases de données, PDF, disques virtuels, listes protégées de mots de passe, clés de sécurité PGP, etc.
De l'espionnage industriel
Jusqu’à présent, le cheval de Troie Havex est connu pour deux modules très spécifiques destinés à transmettre aux auteurs de l’attaque des données concernant des environnements informatiques industriels particuliers. Le premier d’entre eux est le module scanner OPC, conçu pour siphonner des informations extrêmement détaillées sur les serveurs OPC fonctionnant en réseau local. Ces serveurs sont généralement utilisés en présence de multiples automates industriels. Le scanner OPC s’accompagne d’un outil de scrutation du réseau. Ce second module surveille le réseau local à la recherche de tous les ordinateurs qui écoutent les ports liés aux logiciels OPC/SCADA et tente de se connecter à ces hôtes afin d’identifier un potentiel système OPC/SCADA et d’en transmettre toutes les données aux serveurs C&C.
une origine mystérieuse
Les chercheurs de Kaspersky Lab ont observé plusieurs métacaractéristiques qui pourraient laisser deviner la nationalité des cybercriminels se cachant derrière cette campagne. En particulier, après analyse de l’horodatage de 154 fichiers, ils en ont conclu que la plupart des échantillons avaient été compilés entre 6 h et 16 h (UTC), ce qui pourrait correspondre à toute l’Europe de l’Ouest ou de l’Est.
Les experts ont également analysé la langue utilisée dans les messages à l’intérieur du code malveillant : il s’agit de l’anglais (mais écrit par des individus dont ce n’est pas la langue maternelle). À la différence de plusieurs autres chercheurs ayant précédemment étudié cette campagne, les spécialistes de Kaspersky Lab n’ont pas pu conclure formellement si elle était, ou non, d’origine russe. Près de 200 fichiers binaires malveillants et leur contenu opérationnel ne présentent absolument aucun message en caractères cyrilliques (ou leur translittération en alphabet latin), à l’opposé des constatations documentées par Kaspersky Lab après l’analyse des campagnes Red October, Miniduke, Cosmicduke, Snake ou TeamSpy. Enfin, certains indices linguistiques dénotent la présence de locuteurs français et suédois.
Les experts de Kaspersky Lab poursuivent leurs recherches sur cette campagne, en collaboration avec les pouvoirs publics et des partenaires des différents secteurs. Le texte complet de l’étude est disponible sur le site securelist.com.