Révélations sur la campagne de CyberEspionnage APT Comfoo

Black Hat 2013BLACK HAT USA – Las Vegas – Le Trojan (cheval de Troie) d’accès à distance (RAT) qui a été utilisé lors du Hacking et violation de données de la société RSA il y a trois ans reste actif et prolifique avec des attaques ciblées contre des ministères, des opérateurs de télécommunications, les sociétés d’exploration minière, les entreprises de technologie et les médias, principalement en Asie et certaines aux États-Unis.

Les experts en Malware, Joe Stewart et Don Jackson, de Dell SecureWorks, ont eu accès à l’infrastructure de commandement et de contrôle (C&C – Command & Control) du Trojan Comfoo – un fait rare avec les Advanced Persistant Threat (APT) – et ont également trouvé la preuve de l’ampleur de celui-ci: les chercheurs ont découvert 64 campagnes d’attaque ciblée différentes utilisant le RAT, ainsi que quelque 200 variantes du Trojan.

Comfoo a été associée à l’une des plus grandes campagne de cyberespionnage chinois connu sous le nom du ‘Beijing Groupe’, et les attaques découvertes par SecureWorks fonctionnent sur la même infrastructure que le groupe. “Mais il se peut ou pas y avoir les mêmes personnes à l’autre bout des ordinateurs. Ils peuvent juste se partager la même infrastructure», annonce Stewart.

Le RAT a été en développement depuis au moins 2006, mais a réussi à voler le plus souvent sous le radar, selon les chercheurs, qui ont publié un rapport sur Comfoo cette semaine.

Le Japon et l’Inde ont été les principales cibles, ainsi que Taiwan et la Corée du Sud. Les chercheurs ont également constaté des machines infectées aux Etats-Unis et en Europe.

En dépit de la longévité de Comfoo et refonte régulière, c’est l’un des RATs les moins médiatisés, selon Stewart, principalement parce qu’il a gardé un profil relativement bas. “Il est encore sous le radar, il semblerait. Il n’y a pas eu beaucoup de rapports publics” à ce sujet, dit-il. “Mais nous avons vu toutes ces infrastructures, toutes ces campagnes et tous ce malware.”

“Il est beaucoup utilisée et beaucoup plus de cibles que les gens ne le soupçonne”, énonce Stewart, qui est le directeur de la recherche de malware pour l’unité “Counter Threat” de Dell SecureWorks. “La quantité de travail que cette équipe doit effectuer pour maintenir ce Trojan et toute cette infrastructure” est importante, dit-il.

Stewart a pu accéder aux serveurs C&C de Comfoo car les serveurs back-end ne nécessite pas d’authentification et parce qu’il a été capable de déchiffrer le cryptage de l’infrastructure. Il a trouvé le protocole et la clé de chiffrement statique qui a été codé en dur dans le code binaire de Comfoo, et a obtenu une vue idéale sur les machines des victimes qui se connectaient sur les serveurs de commandement du Trojan et les serveurs de relais de commande. SecureWorks ne révélera pas les noms des organisations victimes, mais toutes ont été alertés sur les attaques, conclu Stewart.

Bien que les chercheurs ont été incapables de voir les données réelles volée des victimes, ils ont été témoins que Comfoo a eu accès aux informations système et réseau, l’enregistrement des frappes clavier, le téléchargement de fichiers, des captures d’écran, et l’ouverture de commande shell.

Une campagne d’attaque d’envergure menée par le groupe Comfoo en 2012, a atteint plus de 20 ministères du gouvernement japonais, des universités, des administrations municipales, des organisations professionnelles, des médias, des think-tanks et des fabricants de machines industrielles.

Dans une tournure intéressante, Comfoo a également ciblé les réseaux d’entreprises d’audioconférence et de vidéoconférence. Stewart dit que c’est possible qu’ils tentent de voler la propriété intellectuelle de cette technologie, mais il est plus probable qu’ils rassemblent du renseignement sur ces sociétés à des fins d’espionnage pour d’autres cibles via les fournisseurs de systèmes audio et de vidéoconférence.

Le rapport complet en Anglais de SecureWorks est disponible ici.

Auteur: Kelly Jackson Higgins
Source: http://www.darkreading.com/attacks-breaches/comfoo-apt-cyberespionage-campaign-expos/240159330

Traduction et adaptation du texte par l’équipe Hashtagistan