La chronique des cyberattaques est aussi une litanie sans fin d’actions et de réactions des protagonistes étatiques. Le ransomware WannaCry, attribué à la Corée du Nord, est sans doute la cyberattaque la plus connue, avec plus de 200.000 victimes parmi 150 pays dans le monde et plusieurs milliards de dollars de dégâts. Eset, acteur d’origine slovaque pour les outils de sécurité vient de documenter une nouvelle backdoor (porte dérobée), baptisée « Sponsor » et exploitée par le groupe APT Ballistic Bobcat, aligné sur les intérêts de l'Iran. Sans surprises, cette menace qualifiée par Eset de « campagne de parrainage de l'accès » vise les ennemis de l’Etats iranien, en premier lieu Israël et les Émirats arabes unis mais aussi les Etats-Unis ou le Brésil. Le groupe Ballistic Bobcat analyse et exploite les failles de manière globale mais ne cible pas des victimes choisies au préalable. Il s’agit d’un outil de cyberespionnage. Parmi les secteurs d’activité en Israël, visés par APT Ballistic, figurent la maintenance automobile, les communications, l’ingénierie, les services financiers, la santé, les assurances, le secteur juridique, l’industrie, la recherche, la distribution commerciale. Une très large palette de cibles potentielles par conséquent en Israel comme dans les autres pays victimes.
Sponsor, une porte dérobée qui utilise des fichiers de configuration malveillants déployés par des fichiers batch
De manière classique, les fichiers batch (traitement par lot) sont conçus pour passer sous le radar des outils de défense des entreprises et institutions, échappant ainsi à la détection. « Le groupe continue d'utiliser un ensemble d'outils open source varié complété par plusieurs applications personnalisées, y compris la porte dérobée Sponsor récemment découverte. » déclare Adam Burgher, le chercheur chez ESET qui a découvert Sponsor et analysé cette campagne. Ballistic Bobcat, alias PT35, APT42 Charming Kitten, TA453 ou PHOSPHORUS, fait appel à de nombreux outils open-source tels host2ip.exe, CSRSS.EXE, gost.exe, chisel.exe, WebBrowserPassView.exe, etc.La backdoor Sponsor recueille des informations sur l'hôte sur lequel il s'exécute, transmet toutes les informations recueillies au serveur Command&Control et reçoit un numéro ID de nœud, inscrit dans le fichier node.txt. Sponsor ciblant Windows, il accède aux clés et les valeurs du Registre de cet OS. Les données collectées sont autant de preuves que les pirates présentent aux victimes pour leur fournir fournit un exemple des informations collectées.
Les croisements entre les actions malveillantes des campagnes Ballistic Bobcat et les diverses versions de la porte dérobée Sponsor présentent pour Eset, un schéma assez clair de développement et de déploiement de l'outil, avec des campagnes étroitement ciblées, chacune d'une durée limitée.
Ballistic Bobcat s’attaque aussi aux vulnérabilités non corrigées dans les serveurs Microsoft Exchange exposés sur Internet. Outre les outils Open Source déjà mentionnés, les pirates font appel à plusieurs applications personnalisées, y compris leur porte dérobée Sponsor. Il est fortement conseillé aux équipes de sécurité de corriger les vulnérabilités de tous les appareils exposés sur l'internet et de rester vigilants quant aux nouvelles applications qui seront déployées.
