Une campagne de cyberespionnage ciblant des États d’Asie centrale

Les gouvernements de l’Afghanistan, du Kirghizistan et de l’Ouzbékistan ont tous été ciblés par un groupe de menaces persistantes avancées (APT) soutenu par l’État chinois, baptisé IndigoZebra, selon les renseignements produits par Check Point Research (CPR).

Le groupe semble avoir infiltré le Conseil de sécurité nationale afghan (NSC) dans une attaque de spear phishing ciblée et adaptée, en envoyant un e-mail avec un document joint pour examen qui a usurpé l’identité du Bureau du président de l’Afghanistan comme un leurre pour infiltrer le NSC.

« La détection du cyberespionnage continue d’être une priorité absolue pour nous. Cette fois, nous avons détecté une campagne de spear-phishing en cours ciblant le gouvernement afghan. Nous avons des raisons de croire que l’Ouzbékistan et le Kirghizstan ont également été victimes. Nous avons attribué nos conclusions à un acteur de la menace sinophone », a déclaré Lotem Finkelsteen, responsable du renseignement sur les menaces chez Check Point.

Le document malveillant – qui prétendait avoir quelque chose à voir avec une conférence de presse à venir – était un fichier d’archive contenant des logiciels malveillants, déguisé en une archive RAR protégée par mot de passe nommée « Conférence de presse NSC.rar ».

Une fois ouvert, le fichier extrait, nommé « Conférence de presse NSC.exe » a agi comme un compte-gouttes de porte dérobée. Pour réduire les soupçons, le logiciel malveillant a déployé une astuce sournoise – le contenu de l’e-mail ayant suggéré que le fichier joint était un document, il a également ouvert le premier document qu’il a trouvé sur le bureau de la victime.

« Ce qui est remarquable ici, c’est la façon dont les acteurs de la menace ont utilisé la tactique de la tromperie de ministère à ministère. Cette tactique est vicieuse et efficace pour faire n’importe qui faire n’importe quoi pour vous. Dans ce cas, l’activité malveillante a été observée aux plus hauts niveaux de souveraineté », a déclaré Finkelsteen.

La porte dérobée a ensuite rappelé un dossier préconfiguré et unique à chaque victime contrôlé par les attaquants et hébergé sur le service de stockage en nuage Dropbox, qui servait d’adresse à partir de laquelle il tirait d’autres commandes et stockait les informations exfiltrées – exploitant efficacement Dropbox comme centre de commande et de contrôle. Lorsque le groupe avait besoin d’envoyer un fichier ou une commande au système de la victime, ils les lacésaient dans le dossier nommé « d » dans le dossier Dropbox de la victime, pour être récupéré et téléchargé par le logiciel malveillant.

« Il est remarquable de noter comment les acteurs de la menace utilisent Dropbox pour se masquer de la détection, une technique que je pense que nous devrions tous connaître et surveiller », a déclaré Finkelsteen.

« Il est possible que d’autres pays aient également été ciblés par ce groupe de pirates informatiques, bien que nous ne sachions pas combien ni quels pays. Par conséquent, nous partageons une liste d’autres domaines possibles utilisés dans l’attaque en ce moment, dans l’espoir que leurs noms puissent être exploités par d’autres chercheurs en cybersécurité pour contribuer à nos propres résultats.

En fin de compte, le groupe a effectué un certain nombre d’actions sur les systèmes du NSC, y compris le téléchargement et l’exécution d’un outil de numérisation connu pour être largement utilisé par plusieurs acteurs de l’APT, y compris APT10 basé en Chine; l’exécution des outils utilitaires de mise en réseau intégrés de Windows; et l’accès et le vol des fichiers de la victime.

Outre la campagne ciblant l’Afghanistan, le CPR a trouvé des variantes ciblant les organes politiques de deux autres pays d’Asie centrale, le Kirghizistan et l’Ouzbékistan – des indicateurs spécifiques de la victimologie peuvent être trouvés dans son rapport technique complet.

Le groupe IndigoZebra est connu de la communauté de la cybersécurité depuis un certain temps, et sa campagne remonterait à plusieurs années, peut-être jusqu’en 2014, a déclaré CPR.

En 2017, Kaspersky a noté une campagne contre les anciennes républiques soviétiques d’Asie centrale utilisant une grande variété de logiciels malveillants, y compris Meterpreter, Poison Ivy et xDown. Kasperksy a déclaré qu’il procédait probablement à la collecte de renseignements et, plus tard la même année, a suggéré qu’IndigoZebra ciblait spécifiquement les pays qui avaient mené des négociations avec la Russie.