Le gang de cyberattaque russe Sandworm a créé une nouvelle boîte à outils pour compromettre les appareils Android, indique un rapport publié récemment par l’alliance de renseignement le Groupe des cinq, composée des agences de renseignement des États-Unis, du Canada, du Royaume-Uni, de l’Australie et de la Nouvelle-Zélande, qui l’utilise d’abord pour cibler les appareils Android utilisés par l’armée ukrainienne.
Le maliciel, que les chercheurs gouvernementaux surnomment « Infamous Chisel », recherche des fichiers et des chemins de répertoire spécifiques liés aux applications militaires.
Le logiciel malicieux fournit une porte dérobée d’accès au réseau via un service Tor et un accès SSH sécurisé. Il effectue une analyse périodique des fichiers et des informations réseau de l’appareil compromis pour l’exfiltration. Les autres fonctionnalités incluent la surveillance du réseau, la collecte du trafic, l’accès SSH, l’analyse du réseau et le transfert de fichiers SCP.
Sandworm – également appelé Voodoo Bear, Electrum par certains chercheurs – a été lié au Centre principal des technologies spéciales (GTsST) du renseignement militaire russe. Cette organisation a été accusée par les États-Unis d’être derrière les attaques de 2015 et 2016 contre les fournisseurs d’électricité ukrainiens, l’attaque mondiale NotPetya de 2017, qui ciblait la campagne présidentielle française de 2017, l’attaque du Olympic Destroyer de 2018 contre les Jeux olympiques d’hiver, l’opération de 2018 contre l’Organisation pour l’interdiction des armes chimiques, et des attaques contre la Géorgie en 2018 et 2019. Selon Mitre, certaines d’entre elles ont été menées avec l’aide de l’unité GRU 26165, également appelée APT28.
La création de la boîte à outils Infamous Chisel est la dernière avancée dans la cyber-guerre entre la Russie et l’Ukraine, qui s’inscrit dans le cadre d’une guerre physique plus large entre les deux pays.
Selon le rapport du Groupe des cinq, les composants d’Infamous Chisel sont « de sophistication faible à moyenne et semblent avoir été développés sans se soucier de l’évasion de la défense ou de la dissimulation d’activités malveillantes ».
« Bien que les composants manquent de techniques de base d’obscurcissement ou de furtivité pour dissimuler l’activité, le cybercriminel a peut-être jugé cela comme inutile », ajoute le rapport, « puisque de nombreux appareils Android ne disposent pas d’un système de détection basé sur l’hôte. »
Deux techniques intéressantes sont présentes dans Infamous Chisel, indique le rapport :
- Le remplacement de l’exécutable netd Android légitime pour maintenir la persistance.
- La modification de la fonction d’authentification dans les composants qui incluent un client SSH baptisé dropbear.
Ces techniques nécessitent un bon niveau de connaissances en C++ pour effectuer les modifications et une connaissance des mécanismes d’authentification et de démarrage Linux, indique le rapport.
« Même en l’absence de fonctions de dissimulation, ces composants représentent une menace sérieuse en raison de l’impact des informations qu’ils peuvent collecter », ajoute le rapport.
Adaptation et traduction française par Renaud Larue-Langlois.
