fbpx
ActualitésAppsHigh TechSécurité

ESET découvre un groupe de piratage public rare qui est resté non détecté pendant neuf ans

La société slovaque de cybersécurité ESET a découvert un nouveau groupe de piratage public (également connu sous le nom d’APT). Nommé XDSpy, le groupe est une rareté dans le paysage de la cybersécurité car il a réussi à rester inaperçu pendant près de neuf ans avant que sa frénésie de piratage ne soit découverte plus tôt cette année.

Les opérations du groupe ont été détaillées pour la première fois aujourd’hui par des chercheurs d’ESET lors d’une conférence lors de la conférence sur la sécurité Virus Bulletin 2020.

ESET affirme que l’objectif principal du groupe a été la reconnaissance et le vol de documents. Ses cibles étaient des agences gouvernementales et des entreprises privées en Europe de l’Est et dans les Balkans.

Les pays ciblés comprenaient la Biélorussie, la Moldavie, la Russie, la Serbie et l’Ukraine, selon les données de télémétrie d’ESET, mais d’autres opérations XDSpy peuvent encore être découvertes.

ESET affirme que les opérations du groupe sont maintenant devenues sombres après qu’une de ses campagnes a été détectée et détaillée dans une alerte de sécurité envoyée par l’équipe CERT Belarus.

En utilisant cette alerte de sécurité comme indice initial, ESET affirme avoir été en mesure de découvrir les opérations XDSpy passées. Matthieu Faou et Francis Labelle, les deux chercheurs en sécurité d’ESET qui ont dirigé l’enquête sur XDSpy, ont déclaré que l’outil principal du groupe était une boîte à outils contre les logiciels malveillants qu’ils ont nommée XDDown.

Le malware, décrit par Faou comme «n’étant pas à la pointe de la technologie», était cependant plus que suffisant pour infecter les victimes et aider le groupe à collecter des données sensibles sur des cibles infectées.

ESET a décrit XDDown comme un « downloader » ​​utilisé pour infecter une victime puis télécharger des modules secondaires qui effectueraient diverses tâches spécialisées.

Cela a empêché les outils de sécurité de détecter XDDown comme malveillant, mais a également permis au logiciel malveillant de posséder des fonctionnalités très avancées. Les modules XDDown incluent:

  • XDREcon – un module pour analyser un hôte infecté, rassembler les spécifications techniques et les détails du système d’exploitation, et renvoyer les données au serveur de commande et de contrôle XDDown / XDSpy.
  • XDList – un module pour rechercher sur un ordinateur infecté des fichiers avec des extensions de fichier spécifiques (fichiers liés à Office, PDF et carnets d’adresses).
  • XDMonitor – un module qui surveillait le type de périphériques connectés à un hôte infecté.
  • XDUpload – le module qui a pris les fichiers identifiés par XDList et les a téléchargés sur le serveur XDXpy.
  • XDLoc – un module pour collecter des informations sur les réseaux WiFi à proximité, des informations qui auraient été utilisées pour suivre les mouvements des victimes à l’aide de cartes des réseaux WiFi publics.
  • XDPass – un module qui extrait les mots de passe des navigateurs installés localement.
xdspy components - ESET découvre un groupe de piratage public rare qui est resté non détecté pendant neuf ans
Image: ESET

En ce qui concerne la façon dont les victimes ont été infectées, XDSpy n’était pas particulièrement original dans ses opérations, utilisant la technique éprouvée des campagnes d’e-mail de spear-phishing.

Dans les campagnes analysées par ESET, le groupe a utilisé des lignes d’objet d’e-mails avec des leurres liés aux objets perdus et trouvés et à la pandémie COVID-19. Ces e-mails étaient accompagnés de pièces jointes malveillantes telles que des fichiers Powerpoint, JavaScript, ZIP ou de raccourcis (LNK). Le téléchargement et l’exécution de l’un de ces fichiers infectent généralement la victime avec des logiciels malveillants.

Sur la base des caractéristiques du malware, de sa distribution limitée et du ciblage des agences gouvernementales, y compris les militaires et les ministères des Affaires étrangères, ESET a déclaré que le groupe XDSpy était un APT évident – menace persistante avancée – un terme utilisé par l’industrie de la cybersécurité pour décrire le pirate informatique. groupes menant des opérations pour le compte de gouvernements étrangers, généralement pour l’espionnage et la collecte de renseignements.

Mais quel gouvernement, ESET n’a pas dit. Les pays ciblés font généralement partie de la zone d’intervention des pays russes et de l’OTAN. Cependant, ESET a également noté que de nombreux échantillons de logiciels malveillants XDSpy ont été compilés sur les fuseaux horaires d’Europe de l’Est.

Il y a certains détails dans le malware du groupe pour soutenir sa classification en tant qu’APT. Cela inclut le fait que de nombreux plugins ne contenaient pas de mécanisme de persistance, ce qui signifie que le principal malware XDDown aurait dû télécharger à nouveau chaque module après le redémarrage de l’ordinateur.

En outre, ESET a déclaré avoir également découvert que certains plugins XDDown étaient également livrés avec des commutateurs d’arrêt basés sur le temps qui les supprimaient après une certaine date.

Ces deux caractéristiques suggèrent que XDSpy a donné la priorité à la furtivité plutôt qu’à la persistance dans un effort pour ne pas être détecté et éviter d’exposer ses outils, une tactique et un mode opératoire communs utilisés par de nombreux groupes parrainés par l’État.

« Ainsi, ils ont pu utiliser la même base de code pendant 9 ans tout en pouvant échapper à certains produits de sécurité en peaufinant l’obfuscation », a déclaré Faou dans un e-mail cette semaine.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer