« Havex » la roulette russe
Il y’a une petite semaine, le Nasjonal SikkerhetsMyndighet (NSM, l’agence nationale pour la sécurité de l’Etat norvégien) avertissait trois cent de ses entreprises du secteur de l’énergie et du pétrole de la dangerosité d’une menace bien réelle et concrète : une assez vaste campagne d’attaque d’une APT (Advanced Permanent Threat) qui tapinait depuis quelques temps le secteur de l’énergie, DragonFly.
DragonFly, aka Energetic Bear, aka Crouching Yeti, est un groupe identifié d’origine russe qui sévit depuis la fin des années 2000. On remonte ses traces facilement jusqu’en 2010, et avant un peu plus difficilement. Spécificité de ce groupe, qui déploit sa base opérationnelle de façon chronique depuis lors : il s’est spécialisé dans l’industrie, en particulier le secteur de l’énergie (gaz, pétrole, électricité, et équipementiers correspondants).
Ses modes opératoires sont assez simple : spearfishing bien ciblé avec un PDF embarquant une charge permettant de prendre pied sur la machine hôte ; watering hole au moyen d’un grand nombre de serveurs web (de contenu, genre blogs, prisés de la communauté industrielle ciblée), avec un iframe qui renvoie sur un autre serveur compromis hébergeant cette fois le kit d’exploit du groupe, LightsOut, dont la dernière version EK.Hello a fait son apparition en septembre 2013. Un autre mode opératoire, cette fois plus recherché a defrayé l’actualité du printemps 2014 : des logiciels légitimes, disponibles au téléchargement sur le site de leur fournisseur… mais compromis (le logiciel, pas le site). Havex : une charge particulière !
Havex, ainsi nommé par cause du marqueur dans les commentaires du code du serveur, se déployait en 2012/2013 principalement aux Etats Unis et au Canada (défense et compagnies aériennes). On l’a vu ensuite en Europe (secteur de l’énergie), principalement en Espagne et rapidement sur le reste du continent. Procédant toujours de façon ordonnée et ciblée (France, Italie, Allemagne et en Europe de l’Est), les analystes de malware l’ont vu se déployer rapidement, mais de façon calculée : pas comme un ver. Au printemps 2014, Kaspersky dénombrait à partir de sa propre base d’observations, 2470 systèmes infectés… auxquels il convient d’ajouter tous les autres, certains en particulier dénombrés par d’autres observatoires tels que Symantec, F-Secure ou encore Sophos, etc.
Havex est un Trojan, un malware d’accès distant (RAT, Remote Access Tool) généraliste, référencé en backdoor.Oldrea. Technologie spécifique, il a été développé par ou pour le groupe DragonFly. Une fois installé sur la machine cible (systèmes MS Windows), le loader Havex se connecte à un serveur C&C hébergeant un kit d’exploit LightsOut en lui transmettant sous forme structurée, compressée et chiffrée, une rapide énumération des caractéristiques techniques de son hôte (module sysinfo) et la base de contacts Outlook. Il dispose également d’un module de vol de mots de passe basé sur BrowserPasswordDecryptor-2.0. Etendu avec des fonctions téléchargées sur le serveur de commande et de contrôle (C&C), Oldrea va poursuivre ses vols de données en collectant les informations de son hôte.
Havex incorpore aussi un module scanner OPC comportant des fonctions d’exploration des environs réseaux de l’hôte qu’il infecte. Notamment, Havex interroge les ports 44818 (Rslinx), 502 (ModBus), 102 (Siemens PLC), 11234 (Measuresoft ScadaPro), 12401 (7-Technologies IGSS SCADA). En clair, il recherche particulièrement des équipements industriels ICS/SCADA, en se connectant à des services spécifiques au moyen du protocole OPC. Les payloads récupérés à partir des serveurs C&C pour étendre les fonctionnalités du Trojan montrent clairement l’intérêt des attaquants de pouvoir interagir et contrôler ces environnements industriels.
Concernant les autres stations Windows, téléchargeant des malwares complémentaires à partir du kit d’exploits LightsOut hébergé sur le serveur C&C, Havex va évoluer en se déplaçant sur d’autres machines du réseau et ainsi poursuivre son exploration. Havex dispose d’un panneau de contrôle sommaire qui permet à un utilisateur authentifié de télécharger des versions compressées de données spécifiques.
Les serveurs C&C sont le plus souvent encore des sites web de gestion de contenu (par exemple des blogs). Au printemps 2014, F-Secure dénombrait 146 serveurs C&C actifs et 88 variantes d’Havex.
Les adresses des serveurs C&C étaient codées en dur dans les binaires Havex jusqu’à la version 038. Ensuite, on les trouve spécifiées dans la section de configuration du malware. Il y’a habituellement deux à quatre adresses par binaire, différentes pour chaque version du malware et parfois même différentes au sein d’une même version.
Sources :
« CrowdStrike global threat report ! 2013 year in review », Daavid Hentunen, Antti Tikkanen, F-Secure, Article de blog, 2014
« Russian Hackers ‘Are copying the Chinese play book’ – That’s bad news for the US », Michael B. Kelley, Business Insider, Military & Defense, Article, 2014
http://www.businessinsider.com/countries-targeted-by-russia-hack-2014-1
« Energetic Bear – Crouching Yeti », Kaspersky Lab Global Research and Analysis Team, Kaspersky, Rapport, 2014. https://securelist.com/files/2014/07/EB-YetiJuly2014-Public.pdf
« Cyberespionage campaign hits energy companies », Joel Languill, Emanuelle Zambon, Daniel Trivellato, SecurityMatters, Rapport d’étude, 2014
« Emerging threat : DragonFly / Energetic Bear – APT Group », MSS Global Threat Response, Symantec, Blog, 2014
http://www.symantec.com/connect/blogs/emerging-threat-dragonfly-energetic-bear-apt-group
« DragonFly : western energy companies under sabotage threat », Symantec Security Response, Symantec, Article de blog, 2014
« Oil industry under attack by hackers », Nina Berglund, Norway news in english, Article, 2014