Octobre Rouge

Votre nouveau feuilleton de l’hiver c’est l’opération « Red October » qui a été dévoilé par Kaspersky.

On y retrouve les ingrédients maintenant classique d’autres opération de cyber-espionnage à la Duqu / Flame / Stuxnet, à savoir du spear-phishing (envoi de pièces jointes plombées + social engineering), des exécutables qui volent différents type d’informations et des serveurs de command and control à gogo :p

Contrairement à Flame, les attaquants ne sont pas pris la tête pour exploiter des failles 0day : ils ont exploité des failles datant de quelques années (2009, 2010 ou plus récent) pour lesquelles des exploits sont trouvables sur le web. Il se pourrait même qu’ils aient ripé le code de hackers chinois.

Une fois un accès récupéré sur une machine via l’exploitation d’une de ces failles, ils tentent de prendre l’accès à d’autres machines du réseau via une vieille faille dans SMB (déjà exploitée par le ver Conficker).

D’après Kaspersky, l’analyse des exécutables droppés sur les machines laisse supposer que les attaquants sont russophone (présence de caractères cyrilliques).
Malgré le fait que les failles exploitées soient connues de longue date, les attaques remonterait depuis mai 2007 !

Des modules utilisés dans ces attaques s’intéressent en particulier aux données des smartphones : historique des appels, contacts, sms etc.
Les autres plus classiques écoute les touches du clavier, tente de récupérer des accounts pour des sites web et messagerie instantanées.

D’après l’analyse qui a été faite, de nombreux pays sont concernés par ces attaques, principalement en Europe de l’Est / Asie centrale, la Russie étant elle-même la plus touchée.

Dans une analyse plus récente, Kaspersky rentre en détails sur les exploits utilisés et les méthode d’obfuscation des shellcodes ainsi que sur le dropper.

Les modules utilisés dans les attaques sont ensuite passés au crible. Les chercheurs sécu de Kaspersky ont pu mettre en place de fausses machines victimes et surveiller l’activité.
Notamment, un module est capable de lire les bases sqlite pour extraire les infos de navigation des différents navigateurs.

L’un des modules les plus important aux yeux des attaquants est celui qui tente de récupérer toutes les communications liées à mail.ru (4ème site le plus visité en Russie en 2011).
Enfin, un autre module tente de trouver les chaines SNMP « communauté » sur le réseau en se servant d’une liste hard-codée de 600 chaines et récupère les configurations Cisco quand cela est possible.

Malware.lu a aussi publié plusieurs articles sur le sujet ainsi qu’une réécriture du C&C en Python

2 réflexions au sujet de « Octobre Rouge »

Les commentaires sont fermés.