Moins de deux Il y a quelques semaines, la Cybersecurity & Infrastructure Security Agency des États-Unis et le FBI ont publié un avis conjoint sur la menace d’attaques par ransomware d’un gang qui se fait appeler “Cuba”. Le groupe, qui, selon les chercheurs, est en fait basé en Russie, s’est déchaîné au cours de l’année écoulée en ciblant un nombre croissant d’entreprises et d’autres institutions aux États-Unis et à l’étranger. De nouvelles recherches publiées aujourd’hui indiquent que Cuba a utilisé des logiciels malveillants dans ses attaques qui ont été certifiés ou approuvés par Microsoft.
Cuba a utilisé ces « pilotes » signés cryptographiquement après avoir compromis les systèmes d’une cible dans le cadre des efforts visant à désactiver les outils d’analyse de sécurité et à modifier les paramètres. L’activité était censée passer inaperçue, mais elle a été signalée par les outils de surveillance de la société de sécurité Sophos. Des chercheurs de l’unité 42 de Palo Alto Networks ont précédemment observé Cuba signant un logiciel privilégié connu sous le nom de “pilote du noyau” avec un certificat NVIDIA qui a été divulgué plus tôt cette année par le groupe de piratage Lapsus$. Et Sophos dit avoir également vu le groupe utiliser la stratégie avec des certificats compromis d’au moins une autre société technologique chinoise, que la société de sécurité Mandiant a identifiée comme étant Zhuhai Liancheng Technology Co.
“Microsoft a récemment été informé que des pilotes certifiés par le programme de développement de matériel Windows de Microsoft étaient utilisés de manière malveillante dans des activités de post-exploitation”, a déclaré la société dans un avis de sécurité aujourd’hui. “Plusieurs comptes de développeurs pour le Microsoft Partner Center ont été engagés dans la soumission de pilotes malveillants pour obtenir une signature Microsoft… Les pilotes malveillants signés ont probablement été utilisés pour faciliter les activités d’intrusion post-exploitation telles que le déploiement de ransomwares.”
Sophos a informé Microsoft de l’activité le 19 octobre avec Mandiant et la société de sécurité SentinelOne. Microsoft affirme avoir suspendu les comptes de l’Espace partenaires qui faisaient l’objet d’abus, révoqué les certificats malveillants et publié des mises à jour de sécurité pour Windows liées à la situation. La société ajoute qu’elle n’a identifié aucun compromis de ses systèmes au-delà de l’abus de compte partenaire.
Microsoft a refusé la demande de WIRED de commenter au-delà de l’avis.
« Ces attaquants, très probablement des affiliés du groupe Cuba ransomware, savent ce qu’ils font et ils sont persistants », déclare Christopher Budd, directeur de la recherche sur les menaces chez Sophos. « Nous avons trouvé un total de 10 pilotes malveillants, toutes les variantes de la découverte initiale. Ces pilotes montrent un effort concerté pour remonter la chaîne de confiance, à partir au moins de juillet dernier. Il est difficile de créer un pilote malveillant à partir de zéro et de le faire signer par une autorité légitime. Cependant, c’est incroyablement efficace, car le conducteur peut essentiellement effectuer n’importe quel processus sans poser de questions.”
La signature cryptographique du logiciel est un mécanisme de validation important destiné à garantir que le logiciel a été contrôlé et approuvé par une partie de confiance ou « autorité de certification ». Cependant, les attaquants recherchent toujours des faiblesses dans cette infrastructure, où ils peuvent compromettre les certificats ou autrement saper et abuser du processus de signature pour légitimer leurs logiciels malveillants.
“Mandiant a déjà observé des scénarios où l’on soupçonne que des groupes exploitent un service criminel commun pour la signature de code”, a écrit la société dans un rapport publié aujourd’hui. “L’utilisation de certificats de signature de code volés ou obtenus frauduleusement par des acteurs de la menace a été une tactique courante, et la fourniture de ces certificats ou services de signature s’est avérée une niche lucrative dans l’économie souterraine.”
Plus tôt ce mois-ci, Google a publié des conclusions selon lesquelles un certain nombre de “certificats de plate-forme” compromis gérés par des fabricants d’appareils Android, dont Samsung et LG, avaient été utilisés pour signer des applications Android malveillantes distribuées via des canaux tiers. Il semble qu’au moins certains des certificats compromis aient été utilisés pour signer des composants de l’outil d’accès à distance Manuscrypt. Le FBI et la CISA ont précédemment attribué l’activité associée à la famille de logiciels malveillants Manuscrypt à des pirates informatiques soutenus par l’État nord-coréen ciblant les plates-formes et les échanges de crypto-monnaie.
« En 2022, nous avons vu des attaquants de rançongiciels tenter de plus en plus de contourner les produits de détection et de réponse des terminaux de nombreux, sinon de la plupart, des principaux fournisseurs », déclare Budd de Sophos. « La communauté de la sécurité doit être consciente de cette menace afin de pouvoir mettre en œuvre des mesures de sécurité supplémentaires. De plus, nous pourrions voir d’autres attaquants tenter d’imiter ce type d’attaque. »
Avec autant de certificats compromis qui circulent, il semble que de nombreux attaquants aient déjà reçu le mémo sur le passage à cette stratégie.
