Les entreprises du secteur de l'énergie sont encore la cible d'un malware. Après le malware Killdisk en décembre dernier qui a permis à des pirates à s'introduire sur le réseau des fournisseurs d'énergie ukrainiens, un autre vient d'être découvert. Le programme malveillant, que les chercheurs de l’entreprise de sécurité SentinelOne ont surnommé Furtim’s Parent, a les caractéristiques d’un dropper, c’est à dire un programme conçu pour télécharger et installer des composants et des outils malveillants supplémentaires. Les chercheurs pensent qu'il a été mis en circulation en mai et qu’il a été très probablement créé par des attaquants parrainés par un état. La fonction des droppers est de préparer le terrain pour installer ensuite d'autres composants logiciels malveillants qui pourront réaliser des tâches spécifiques. Leur priorité est de ne pas se faire détecter, d’obtenir des privilèges d’accès, et de désactiver les protections existantes. Autant de tâches que le Furtim’s Parent accomplit parfaitement bien. Quand il est exécuté pour la première fois sur un système, le malware commence par tester l'environnement. Il fait l’inventaire des machines virtuelles, des sandbox, des programmes antivirus, des pare-feu, des outils utilisés par les analystes en sécurité pour repérer les malware et recherche même les logiciels de biométrie.
La batterie de tests est très étendue. Ils consistent aussi bien à vérifier les listes noires dans l’identifiant de la CPU, les hostnames, les noms de fichiers, les bibliothèques DLL, que les répertoires, les caractéristiques de base de la CPU, les pilotes du noyau, les processus en cours, la référence du disque dur, les cartes réseau, les adresses MAC et les informations BIOS, tous les artefacts laissés par des applications de virtualisation et des applications de sécurité connues. Dans certains cas, quand le malware détecte ce type logiciel, il se met en veille. Dans d'autres cas, il continue à fonctionner, mais limite son action et, s’il détecte des programmes antivirus, il essaye de les désactiver. L’étendue et la complexité de ces tests suggèrent que les créateurs du malware connaissent très bien Windows et les produits de sécurité. Ce qui fait dire aux chercheurs que Furtim’s Parent a été créé par plusieurs développeurs de haut niveau qui ont également accès à des ressources considérables.
Une installation sous forme de flux de données NTFS
Le malware ne s'installe pas sous forme de fichier sur le disque, mais en tant que flux de données NTFS alternatif (ADS). Ce flux est activé très tôt dans le processus de démarrage d’un ordinateur et fait intervenir des API Windows de bas niveau non documentées pour contourner les routines de détection de comportement utilisées par les produits de sécurité. « L'utilisation d'appels de sous-routines indirects rend presque impossible l’analyse statique manuelle, et l'analyse dynamique manuelle est lente et laborieuse », ont déclaré mardi dans un blog les chercheurs de SentinelOne. « L'auteur du malware a pris un soin particulier à protéger aussi longtemps que possible cet échantillon de la détection ».
Le malware utilise deux exploits d'escalade de privilèges de Windows, l’un corrigé en 2014 et l’autre en 2015 par Microsoft, associés à une technique de contournement déjà connue, dite de contrôle de compte utilisateur (UAC) pour obtenir des privilèges administrateur. Quand cet accès est obtenu, le malware ajoute l'utilisateur au groupe Administrateurs pour éviter une connexion sous un autre compte qui pourrait éveiller les soupçons. Une fois installé, le logiciel malveillant désactive sans se faire repérer les couches de protection de plusieurs produits antivirus et détourne les paramètres DNS du système pour empêcher l'accès à des serveurs spécifiques de mise à jour de l'antivirus. Ensuite, le terrain est prêt pour le téléchargement et l'exécution des charges utiles.
Un dropper qui permet aussi de télécharger des documents
Une charge utile observée par les chercheurs de SentinelOne était utilisée pour recueillir des informations sur les systèmes infectés et pour les renvoyer à un serveur de commande et de contrôle. L’outil était très probablement un outil de reconnaissance, mais le dropper peut également être utilisé pour télécharger des composants qui permettent d’extraire des données sensibles ou d'effectuer des actions destructrices. Les producteurs et distributeurs d'énergie sont une cible intéressante pour des attaquants parrainés par un État parce qu’ils peuvent éventuellement causer des dommages physiques sur les installations, comme ce qui s'était donc passé en Ukraine.
Commentaire