Decoration PressNEWSROOM

Des routeurs compromis exploités comme infrastructures malveillantes pour cibler des organisations gouvernementales en Europe et dans le Caucase.

6 min

L’équipe de recherche d’HarfangLab a identifié différents éléments d’infrastructures et fichier malveillants, exploités dans le cadre de la campagne identifiée en décembre 2023 par le CERT-UA (centre Ukrainien de traitement des incidents informatiques). Cette campagne a ciblé des organisations gouvernementales en Ukraine, en Pologne et très probablement en Azerbaïdjan. 

En décembre, le CERT-UA a décrit une campagne d’espionnage malveillante ciblant des entités gouvernementales ukrainiennes, qu’ils ont attribuée à l’acteur APT28 (aka Fancy Bear, Sofacy, etc.)

Le mode opératoire exploite des courriels d’hameçonnage ciblé pour inciter les cibles à visiter une page Web et à ouvrir un raccourci Windows malveillant. Ce raccourci permet le déploiement d’outils d’exécution à distance tels que MASEPIE et OCEANMAP.

Les chercheurs HarfangLab ont découvert de nouveaux fichiers malveillants et éléments d’infrastructure associés à cette campagne. La campagne a ciblé des organisations gouvernementales en Ukraine et en Pologne au moins, dès le 13 décembre 2023 au plus tard. Des équipements réseau Ubiquiti légitimes ont été exploités comme serveurs de commande et de contrôle. Les chercheurs d’HarfangLab n’ont pas pu confirmer l’attribution de cette campagne à l’acteur APT28.

Infection initiale

L’infection initiale des cibles s’appuie sur des pages web malveillantes, que nos chercheurs ont pu identifier et qui redirigent toutes vers un service de publication des fichiers en ligne (DriveHQ). Les pages comportent des images leurres de documents floutés, invitant les cibles à cliquer sur un bouton pour consulter le document complet. Le clic provoque l’exécution d’un script Javascript malveillant inclus dans la page. En détournant le mécanisme de recherche de fichiers intégré à Windows (“search:”), le script JavaScript provoque à son tour  l’affichage de fichiers malveillants supplémentaires, stockés sur des équipements réseau compromis, et trompeusement présentés comme des documents.

Infrastructure d’attaque et code malveillant MASEPIE

Si la cible ouvre les fichiers malveillants supplémentaires présentés, un script malveillant développé en Python et nommé MASEPIE est exécuté. MASEPIE offre à l’attaquant des fonctionnalités d’exécution de code à distance sur les machines compromises.

Les chercheurs ont constaté que tous les serveurs exposant des fichiers d’infection ainsi que les serveurs de commande et de contrôle de MASEPIE présentaient des caractéristiques propres aux équipements réseau Ubiquiti. Ils ont également constaté que la plupart des serveurs exploités exposaient une bannière de type SSH inhabituelle et ont déterminé que cette dernière correspondait uniquement à des équipements compromis. En conséquence, les chercheurs estiment que l’infrastructure malveillante exploitée pour cette campagne est notamment (et peut-être exclusivement) constituée d’équipements réseau Ubiquiti légitimes, mais compromis.

Objectifs et cibles

Le niveau général de sophistication et de discrétion des outils et des activités malveillantes est faible, mais suffit à maintenir une pression constante sur les capacités de cyberdéfense de l’Ukraine. L’investissement de l’attaquant est minime, mais permet le recueil de renseignements techniques élémentaires (reconnaissance technique, collecte d’identifiants).

Les attaquants ont pris soin d’exploiter des équipements déjà compromis pour constituer leur infrastructure, et peuvent ainsi facilement nier être à l’origine des activités malveillantes associées.  Ces caractéristiques pourraient correspondre avec la volonté et les capacités d’un acteur malveillant soutenu par un Etat, souhaitant accompagner un effort général de pression dans le cadre d’un conflit politique ou militaire.  

Les cibles identifiées de cette campagne paraissent par ailleurs en adéquation avec les intérêts militaires et stratégiques de la Fédération de Russie. Néanmoins, ils correspondent également aux intérêts d’alliés de la Russie… et de nombreux pays du Caucase lors d’un conflit régional.

Pierre Delcher, directeur de l’équipe Cyber Threat Research chez HarfangLab précise : « L’analyse technique ne fait qu’offrir des indices qui peuvent être utiles à l’attribution. Notre expérience de recherche nous permet par ailleurs de constater que la mise en œuvre d’attaques informatiques avancées s’appuie régulièrement sur des serveurs compromis, exploités par plusieurs acteurs, ainsi que sur des relais ou “proxies” d’opération – ces derniers peuvent être des groupes cybercriminels, des sociétés privées, des partenaires… En conséquence, et en particulier lorsque les attaques accompagnent un conflit d’ampleur mobilisant de nombreux intérêts, nous faisons preuve d’humilité dans notre démarche d’attribution. En l’occurrence ici, si l’aperçu des cibles que nos recherches apportent est exhaustif, ce qui est peu probable, on pourrait estimer avec un degré de confiance moyen à élevé que cette campagne est exécutée pour servir des intérêts russes, mais elle pourrait  être menée par des acteurs non étatiques et/ou des organisations non russes. »

Pour plus de détails techniques sur cette recherche menée par les chercheurs d’HarfangLab, rendez-vous sur le blog Inside the Lab.

Nos chercheurs sont disponibles pour des échanges complémentaires concernant les détails de cette campagne d’infection, et de leurs découvertes à ce sujet.

A propos d’HarfangLab

HarfangLab est une entreprise de cybersécurité française qui édite un logiciel EDR (Endpoint Detection and Response), technologie qui permet d’anticiper et neutraliser les cyberattaques sur les ordinateurs et les serveurs. Certifié par l’ANSSI depuis 2020, HarfangLab compte aujourd’hui plus de 250 clients, parmi lesquels des administrations, des entreprises et des organisations d’envergure internationale, évoluant dans des secteurs très sensibles. L’EDR d’HarfangLab, aujourd’hui déployé sur plus d’un million d’endpoints, se distingue par : l’ouverture de sa solution qui s’intègre nativement à toutes les autres briques de sécurité ; par sa transparence, car les données collectées par l’EDR restent accessibles et par l’indépendance numérique qu’il offre, car ses clients sont libres de choisir leur mode d’hébergement : cloud, public ou privé, ou leur propre infrastructure.

Visitez notre site harfanglab.io