Certains y verront un piratage à l’ancienne, où les cybercriminels prenaient leur temps loin du tumulte et de la vitesse des attaques par ransomwares. L’équipe de réponse à incident de Sygnia a traqué pendant deux ans un groupe baptisé Elephant Bettle (scarabée éléphant) ou TG2003. Celui-ci a siphonné des millions de dollars à des entreprises du secteur financier et du commerce, en passant des mois à étudier patiemment les systèmes financiers de leurs cibles et en glissant des transactions frauduleuses parmi les activités régulières. Pour éviter d'être repéré, le groupe générait dans la durée des petites transactions frauduleuses difficilement détectables.
A la différence d’autres groupes, Elephant Bettle ne dispose pas de grands exploits. Mais il s’appuie néanmoins sur un arsenal de plus de 80 outils et scripts uniques pour passer inaperçus pendant de longues périodes et installer patiemment leurs fausses transactions, précisent les chercheurs. Ils soulignent par ailleurs que le gang concentre principalement son attention sur le marché latino-américain, mais il n’épargne pas d’autres sociétés dans le monde.
Des spécialistes de Java et un mix de vulnérabilités connues
Dans leurs recherches, les experts de Sygnia ont constaté qu’Elephant Bettle est particulièrement compétent sur les attaques basées sur Java et cible souvent des applications Java existantes fonctionnant sur des machines Linux, principalement les serveurs web comme WebSphere et WebLogic. Ces derniers sont les portes d’entrée dans l’environnement IT de la victime, Elephant Bettle peut ensuite déployer sa propre application Web Java pour exécuter les ordres du gang sur des machines compromises.
Dans la besace des pirates, plusieurs vulnérabilités connues sont utilisées. Les chercheurs en citent 4 notamment :
-Injection du langage d'expression des applications Primefaces (CVE-2017-1000486).
-Exploitation de la désérialisation SOAP de WebSphere Application Server (CVE-2015-7450).
-Exploitation de la servlet Invoker de SAP NetWeaver (CVE-2010-5326).
-Exécution de code à distance du ConfigServlet de SAP NetWeaver (EDB-ID-24963).
L’ensemble de ces failles donnent aux cybercriminels d'exécuter du code arbitraire à distance via un web shell spécialement conçu et caché. L’équipe de Sygnia a donné l’exemple d’une requête web envoyée par le groupe de menaces à l'un des portails SAP de la victime. Elle exploite le problème d'exécution de code à distance de SAP ConfigServlet et contient une commande d'une ligne qui crée un web shell. Ce dernier peut être déposé dans le dossier ressources de l’application web ou se déguiser en police, image ou élément CSS ou JS pour éviter d’être vu.