Une campagne de cyberespionnage ciblait les États d’Asie centrale

Les gouvernements d’Afghanistan, du Kirghizistan et d’Ouzbékistan ont tous été la cible d’un gouvernement soutenu par l’État chinois. menace persistante avancée (APT), surnommé IndigoZebra, selon les renseignements produits par Recherche de point de contrôle (RCR).

Le groupe semble s’être infiltré le Conseil de sécurité nationale afghan (NSC) dans un cadre ciblé et adapté attaque de harponnage, en envoyant un e-mail avec un document joint pour examen qui se faisait passer pour le bureau du président de l’Afghanistan comme un leurre pour infiltrer le NSC.

« La détection du cyberespionnage reste une priorité absolue pour nous. Cette fois, nous avons détecté une campagne de spear-phishing en cours ciblant le gouvernement afghan. Nous avons des motifs de croire que l’Ouzbékistan et le Kirghizistan ont également été des victimes. Nous avons attribué nos découvertes à un acteur menaçant parlant chinois », a déclaré Lotem Finkelsteen, responsable du renseignement sur les menaces de Check Point.

Le document malveillant – qui prétendait avoir quelque chose à voir avec une conférence de presse à venir – était un fichier d’archive contenant un logiciel malveillant, déguisé en une archive RAR protégée par mot de passe nommée « NSC Press conference.rar ».

Une fois ouvert, le fichier extrait, nommé « NSC Press conference.exe » a agi comme un compte-gouttes de porte dérobée. Pour réduire les soupçons, le malware a déployé une astuce sournoise : le contenu de l’e-mail suggérant que le fichier joint était un document, il a également ouvert le premier document qu’il a trouvé sur le bureau de la victime.

« Ce qui est remarquable ici, c’est la façon dont les acteurs de la menace ont utilisé la tactique de la tromperie de ministère à ministère. Cette tactique est vicieuse et efficace pour obliger quiconque à faire n’importe quoi pour vous. Dans ce cas, l’activité malveillante a été observée aux plus hauts niveaux de souveraineté », a déclaré Finkelsteen.

La porte dérobée a ensuite rappelé un dossier préconfiguré et unique à chaque victime, contrôlé par les attaquants et hébergé sur le service de stockage en nuage Dropbox, qui a servi d’adresse à partir de laquelle elle a extrait d’autres commandes et stocké les informations exfiltrées – exploitant efficacement Dropbox comme une centre de commandement et de contrôle. Lorsque le groupe avait besoin d’envoyer un fichier ou une commande au système de la victime, il les a placés dans le dossier nommé « d » dans le dossier Dropbox de la victime, pour être récupérés et téléchargés par le logiciel malveillant.

“Il est intéressant de noter comment les acteurs de la menace utilisent Dropbox pour se masquer de la détection, une technique que je pense que nous devrions tous connaître et surveiller”, a déclaré Finkelsteen.

« Il est possible que d’autres pays aient également été ciblés par ce groupe de hackers, bien que nous ne sachions pas combien ni quels pays. Par conséquent, nous partageons une liste d’autres domaines possibles utilisés dans l’attaque en ce moment, dans l’espoir que leurs noms puissent être exploités par d’autres cyber-chercheurs pour contribuer à nos propres découvertes.

En fin de compte, le groupe a effectué un certain nombre d’actions sur les systèmes du NSC, y compris le téléchargement et l’exécution d’un outil d’analyse connu pour être largement utilisé par plusieurs acteurs de l’APT, y compris APT10 basé en Chine ; l’exécution des outils utilitaires de mise en réseau intégrés de Windows ; et accéder et voler les fichiers de la victime.

Outre la campagne ciblant l’Afghanistan, le CPR a trouvé des variantes ciblant les organes politiques dans deux autres pays d’Asie centrale, le Kirghizistan et l’Ouzbékistan – des indicateurs spécifiques de la victimologie peuvent être trouvés dans son rapport technique complet.

Le groupe IndigoZebra est connu de la communauté de la cybersécurité depuis un certain temps et sa campagne remonterait à plusieurs années, peut-être jusqu’en 2014, a déclaré CPR.

En 2017, Kaspersky a noté une campagne contre les anciennes républiques soviétiques en Asie centrale en utilisant une grande variété de logiciels malveillants, notamment Meterpreter, Poison Ivy et xDown. Kasperksy a déclaré qu’il menait probablement une collecte de renseignements, et plus tard la même année, il a suggéré qu’IndigoZebra ciblait spécifiquement des pays. qui avait mené des négociations avec la Russie.