Une analyse de Mandiant révèle une infection par le botnet Andromeda, permettant ensuite l’utilisation des logiciels malveilllants KopiLuwak et de QuietCanary

Mandiant a révélé, le 5 janvier 2023, un piratage sur le long cours mené en Ukraine par des cybercriminels russes. Cette opération, baptisée UNC4210, s’appuie sur des logiciels malveillants anciens. Mandiant estime qu’elle a été menée par Turla, un important groupe cybercriminel affilié au Kremlin.

En décembre 2021, les attaquants ont ainsi réussi à infecter une organisation ukrainienne à l’aide d’une clé USB. Elle contenait le botnet Andromeda, très actif au début des années 2010. Même si le botnet est encore utilisé aujourd’hui, les charges Turla sont les seules d’Andromeda repérées en Ukraine par Mandiant.

Une fois installé, Andromeda a commencé à émettre des balises. La version du botnet impliquée remontait à 2013, et utilisait des domaines C2 expirés ou mis en sommeil depuis dix ans. Cette réactivation de domaines appartenant à d’autres groupes cybercriminels serait une première.

Plusieurs hôtes ukrainiens différents ont alors été infectés par des échantillons de balises Andromeda. Mais Mandiant n’a identifié qu’un seul hôte visé ensuite par un logiciel malveillant de Turla. Ce qui « suggère un haut niveau de spécificité dans le choix des victimes qui recevront une charge utile », estime la société de cybersécurité.

Finalement, le 6 septembre 2022, après neuf mois de préparation, UNC4210 a installé un nouveau malware, KopiLuwak, sur la machine visée. Apparu en 2017, KopiLuwak est, selon Mandiant, « un utilitaire de reconnaissance fondé sur JavaScript utilisé pour faciliter les communications C2 et le profilage des victimes ».

KopiLuwak a ensuite effectué une reconnaissance de base du réseau sur la machine victime. Deux jours après, UNC4210 y a installé la porte dérobée QuietCanary (connue aussi sous le nom de Tunnus). UNC4210 a ensuite utilisé QuietCanary pour compresser et dérober des données.

« Le profilage approfondi réalisé depuis janvier a peut-être permis au groupe de sélectionner des systèmes victimes spécifiques, et d’adapter ses efforts d’exploitation ultérieurs afin de recueillir et d’exfiltrer des informations d’importance stratégique », estime Mandiant.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.