Buckeye avait déjà les outils du groupe Equation ?

Filtrer par catégorie :

14 Mai 2019 by Jean-Charles Fellet
Buckeye_digitalsecurity

Threat Insight @ digital.security
 

Connu depuis 2016 grâce aux révélations des « Shadow Brokers  », le groupe « Equation  » fait encore parler de lui.
Cette fois-ci, c’est un nouveau lien d’antériorité entre le groupe d’attaquants d’origine chinoise « Buckeye  » et le groupe « Equation » qui a été révélé par Symantec  : Buckeye aurait utilisé un outil du groupe Equation (« DoublePulsar ») au moins un an avant la diffusion  de cette boite à outils par les Shadow Brokers.
Cette information porte un éclairage supplémentaire sur la complexité de l’attribution des attaques : les groupes ont depuis longtemps pris l’habitude d’importer les codes d’attaque d’autres groupes.

 

Une nouvelle vulnérabilité


Symantec a signalé à Microsoft l’existence d’une nouvelle vulnérabilité  de risque modéré en septembre 2018, patchée en mars 2019. Cette vulnérabilité est une fuite mémoire qui est utilisée conjointement à une autre plus ancienne d’exécution à distance. 
L’analyse rétroactive de cette vulnérabilité a permis de révéler des traces d’exploitation et d’usage de DoublePulsar par le groupe Buckeye remontant jusqu’en mars 2016, cinq mois avant la première annonce publique des Shadow Brokers (août 2016), treize mois avant la diffusion publique de la boite à outils du groupe Equation (avril 2017).
Ce n’est toutefois pas une version identique à celle révélée par les Shadow Brokers en 2017 qui a été utilisée en 2016. La variante DoublePulsar de 2016 utilisée par Buckeye pouvait cibler des versions plus récentes de Windows que la variante de 2017, et disposait également d’une couche d’obfuscation absente de la variante de 2017.

 

Un retour aux « sources » difficile


Les premières traces d’activités associées à Buckeye remontent jusqu’en 2009. C’est donc assez tardivement par rapport à l’historique de ce groupe que l’usage des outils d’Equation a été corrélé.
Plusieurs hypothèses sont soulevées pour tenter d’expliquer cette nouvelle relation. Le groupe d’origine chinoise aurait pu reconstruire la fonctionnalité de ce code d’attaque en l’observant « dans la nature ». Une autre hypothèse est que le groupe Buckeye ou un sponsor gouvernemental l’aurait obtenu sur un serveur de contrôle du groupe Equation, grâce à un manque de protection ou via un accès de l’hébergeur. Les pratiques à risque n’épargnant pas les meilleurs, un membre d’Equation aurait pu ramener des outils chez lui et les stocker sur un équipement personnel compromis par Buckeye. Une dernière hypothèse moins probable serait qu’un membre aurait pu leur transmettre directement, inconsciemment ou en connaissance de cause.
En novembre 2017, trois membres supposés de Buckeye sont accusés par le Department of Justice américain, et bien que l’activité du groupe semble s’être suspendue mi-2017, des outils associés à Buckeye continuent d’être utilisés en ce moment, en particulier l’outil « Bemstour » dont la dernière version détectée date de mars 2019.
Ces trois membres pourraient avoir fait réellement partie de Buckeye, mais auraient également pu obtenir ces outils d’un autre groupe indépendant, qui aurait continué à les utiliser.



Mesures de sécurité appropriées
 

Symantec fournit un ensemble d’Eléments Techniques à Surveiller incluant des IOC (« Indicator of Compromise ») sous forme de hashs de fichiers pouvant être détectés par des sondes.
Aussi, le groupe Buckeye étant connu pour ses attaques par hameçonnage ciblé, dans lesquelles les attaquants incitent leur victime à surfer sur un site contenant des vulnérabilités « 0-days » sur le client (en particulier sur Flash et Internet Explorer à l’époque des attaques « Clandestine Fox » et « Clandestine Wolf » ), il convient d’appliquer les règles d’hygiène informatique .
En particulier, il convient de s’assurer que les mises à jour du poste de travail sont correctement appliquées, et de s’assurer de la sensibilisation des utilisateurs au hameçonnage.

Pour en savoir plus, cliquez ici.







Sources :