L'OP Arachnophobia vient d’être dévoilée dans une étude publiée conjointement par les sociétés américaines de cybersécurité et cyber-renseignement FireEye et ThreatConnect. Il s'agit d'une campagne structurée de cyberespionnage supervisée par une cellule d'attaquants pakistanais.

L'étude montre l'évolution des activités de la cellule passant d'opérations d'hacktivisme à une campagne de collecte de données ciblant des objectifs indiens.

Dès le début 2013, l'OP Arachnophobia implique une société de sécurité pakistanaise et utilise des serveurs américains pour masquer l'origine des attaques.

L'étude FireEye a mis en évidence l'utilisation du malware « Bitterbug » découvert le 6 août 2014, développé pour collecter et importer de l'information sur des cibles indiennes. L'opération apparaît comme une réponse aux campagnes de cyberespionnage indiennes visant des intérêts numériques pakistanais. Elle est à ce titre très proche dans son architecture de l'Opération Hangover attribuée à une équipe indienne et dirigée contre des sites gouvernementaux pakistanais.

BitterBug installe un Backdor sur la machine infectée qui permet ensuite d'exfiltrer les données présentes sur cette machine.

Les chercheurs de FireEye ont montré que l'Opération pakistanaise Arachnophobia a utilisé des serveurs privés virtuels américains pour diffuser le malware et masquer l'origine de l'agression...

Le fournisseur d'hébergement pakistanais VPSNOC a loué les infrastructures d'un fournisseur de serveurs privés américain et les a pleinement utilisées durant l'opération.

L'étude affirme ainsi :

“The threat actors utilized a hosting provider that is a Pakistani-based company with subleased VPS space within the U.S. for command and control (C2).” states the report. “It’s where the malware is hosted and used for command and control,” added Rich Barger.

Le backdoor installé par Bitterbug ne communique qu'avec deux adresses IP gérées par le fournisseur d'accès pakistanais VPSNOC et construit des « paths » contenant les chaînes « Tranchulas » et « umairaziz27 ». Tranchulas est le nom d'une société de cybersécurité pakistanaise (sécurité défensive et offensive...) et Umair Aziz est l'un de ses employés. Bref, une belle signature volontaire ou non en bas du tableau Arachnophobia.

La société de sécurité pakistanaise a publié une seconde version de Bitterbug en modifiant les chemins et les chaînes Tranchulas et umairaziz27...

L'analyse de l'Opération Arachnophobia a montré que les sociétés pakistanaises impliquées VPSNOC et Tranchulas partageaient le même réseau de contact sur les médias sociaux.

Les auteurs de l'étude soulignent la montée en puissance offensive cybernétique d'états tels que l'Iran, le Pakistan, l'Inde et la Corée du Nord au côté des acteurs majeurs que sont les États-Unis, la Chine et la Russie. Ces états sont capables de mettre en œuvre aujourd'hui des opérations de cyberespionnage sophistiquées s'inscrivant dans la durée et selon une stratégie adaptée à leurs intérêts géopolitiques.

Lorsque que l'on observe la liste de ces « nouveaux acteurs » hyperactifs dans le domaine des APT « étatiques » (menaces persistantes avancées), on peut y voir une corrélation avec celle des puissances nucléaires alternatives en devenir ou affirmées...

Le Modus operandi offensif de ces nations repose toujours sur les mêmes fondamentaux caractérisant les APT :

- Une opération qui s'inscrit dans la durée selon une temporalité adaptée aux réponses et réactions de la cible.

- Une phase initiale de reconnaissance et d'analyse des périmètres de défense de la cible, une détection de ses vulnérabilités éventuelles et une période de tests préliminaires (test d'intrusion, évaluation des temps de réponse des systèmes et de leur degré de défense) associée à une campagne d'ingénierie sociale.

- Une furtivité grandissante des agents viraux (malware, Trojan,...) utilisés dans le corpus offensif de l'opération pour infecter la cible et exfiltrer ses données ou compromettre ses systèmes.

La simple dérivation de codes existant (donc référencés par les antivirus) ne suffit plus à garantir le succès d'une OP dans la durée. Il faut faire preuve d'innovation dans le développement des malwares engagés dans cette OP.

- Enfin, l'adaptation aux réponses de la cible tout au long de l'opération et avant qu'elle ne détecte l'infection. Cette forme d'agilité garantit sa longévité (plusieurs mois dans certains cas).

L'observation dans la durée les APT supervisées par l'Inde, le Pakistan ou l'Iran fait apparaître un style propre à chaque culture nationale dans le déroulement de l'opération ; une forme de signature nationale de la cyberoffensive en quelque sorte...

Sources

http://threatc.s3-website-us-east-1.amazonaws.com/?/arachnophobia

http://www.threatconnect.com/news/cyber-squared-inc-releases-operation-arachnophobia-report-uncovering-possible-targeted-malware-originating-pakistan/

http://www.cyberdefensemagazine.com/operation-arachnophobia-targeted-attacks-from-pakistan/

http://www.darkreading.com/attacks-breaches/pakistan-the-latest-cyberspying-nation/d/d-id/1298109

Extrait de l'étude technique SYMANTEC de BITTERBUG

(découvert le 6 août 2014)

Discovered; August 6, 2014
Updated:: August 6, 2014 10:53:09 PM
Type:: Trojan
Systems Affected:: Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP

When the Trojan is executed, it creates the following files:

%UserProfile%\Application Data\execute.exe
%UserProfile%\Application Data\pathfile.txt
%UserProfile%\Application Data\tempfile.txt
%UserProfile%\Application Data\version.txt

The Trojan opens a back door on the compromised computer, and connects to the following location:
[http://]199.91.173.43/fetch_updat[REMOVED]

The Trojan may perform the following actions:

Download and execute remote files
Upload data files from the compromised computer to a remote server

Recommendations

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
For further information on the terms used in this document, please refer to the Security Response glossary.

Writeup By:Kevin Savage

J'aime1

Articles Internet . Blogs Internet

DERNIERS ARTICLES :
PEGASUS Mode d'Emploi
Retrouvez mon article sur l'affaire PEGASUS publié pat The Conversation à partir du lien suivant : https://theconversation.com/derriere-pegasus-le-mode-demploi-dun-lo
Interview PEGASUS France Culture
Le replay de l'interview donnée le 21 juillet 2021 dans les matinales de France Culture sur l'affaire PEGASUS NSO : https://www.franceculture.fr/emissions/la-questi
Podcast Conférence canadienne FORENSIK
Retrouvez notre podcast réalisé en duo avec Thomas Anglade pour le conférence internationale canadienne FORENSIK https://podcast.ausha.co/intrasec/s2e06-thierry-berthi
Panorama sur la Robotique
Voici la présentation réalisée en avril 2021 pour Kedge sur la robotique mondiale. https://fr.slideshare.net/OPcyberland/conference-robots-kedge-26-mars-2021
La 5G, une technologie au service de l'environnement
Dans un article publié le 7 novembre 2020 sur la revue CONFLITS, je présente des cas d'usages très concrets dans lesquels les réseaux 5G seront les meilleurs alliés pou

DECOUVRIR D'AUTRES BLOGS : enochalgh

Annuaire de blogs
Aide Centerblog
Signaler un abus