Cyberattaque Shady RAT
Date : 07 Novembre 2011
Début août dernier, l’éditeur McAfee a publié sur son blog un rapport concernant une cyberattaque de grande ampleur visant des organismes étatiques et des entreprises privées, baptisée "Shady RAT". Cette attaque se serait déroulée sur plusieurs années (5 ou 6 ans) et aurait touché quelques 72 organisations à l’échelle internationale. Selon McAfee, Shady RAT se situerait dans la lignée des attaques APT (Avanced Persistent Threat) qui ont fait la une de l’actualité ces derniers mois (Aurora, Stuxnet, Night Dragon, etc…).
Le Cert-IST a décidé de revenir sur cette attaque afin d’en préciser la teneur exacte.
Fonctionnement de Shady RAT
Dans un premier temps, Shady RAT sélectionne une liste d’organisations cibles et envoie des e-mails à des individus appartenant à ces organisations. Le mode opératoire suit le modèle traditionnel : une pièce jointe malicieuse (documents Office ou PDF) envoyée par e-mail, qui une fois ouverte télécharge et exécute le code malveillant (cheval de Troie), permettant de compromettre le système de la victime.
Dans un second temps, le cheval de Troie tente de contacter un site distant (codé en dur dans le code) puis dialogue avec lui en dissimulant ces échanges dans des images ou des pages HTML anodines. Par exemple, des commandes sont cachées via des techniques de stéganographie dans des fichiers images (elles sont invisibles de la victime visualisant ces images), ou stockées sous forme chiffrée dans les commentaires HTML d'une page web.
La troisième et dernière étape permet au cheval de Troie d’ouvrir un shell distant sur le poste de la victime. Le pirate peut alors utiliser ce shell pour faire exécuter des commandes sur le poste compromis. Les données collectées seront ensuite envoyées vers le serveur distant de l’attaquant.
Discussions autour de Shady RAT
Selon plusieurs sources (Kaspersky et Symantec notamment), le rapport de McAfee aurait été exagéré. Shady RAT utiliserait en fait des techniques peu sophistiquées, et présentant même des lacunes. Les malwares sur lesquels repose Shady RAT sont, selon Kaspersky, facilement détectables par les solutions antivirales.
Pour McAfee, la question n’est pas de savoir si l’outil est plus ou moins sophistiqué. Pour l’éditeur, ce qu’il faut retenir de Shady RAT, c’est qu’il a été capable de dérober des données à un très grand nombre d’organisations, sur plusieurs années, et ce, quel que soit son niveau de technicité.
Bien que McAfee ne le mentionne pas dans son rapport, certaines sources indiquent que l'outil HTran (HUC Packet Transmit tool), aurait été retrouvé sur certaines des machines victimes de Shady RAT. Htran est un proxy (appelé aussi "bouncer" ou "port forwarder") qui permet de rediriger le trafic TCP reçu par une machine vers une autre machine et ainsi de dissimuler l'émetteur initial. HTran a été développé il y a une dizaine d'années par un groupe de hackers chinois. Cette origine chinoise de HTran est l'un des multiples indices qui font penser à certains que Shady RAT serait d'origine chinoise.
Prédécesseurs/successeurs de Shady RAT
Récemment, de nombreuses cyberattaques ont visé de grands industriels :
Aurora (janvier 2010) : Cyberattaque d’origine chinoise utilisant une faille dans Internet Explorer pour mener des attaques contre Google notamment, mais aussi d’autres organisations.
Stuxnet (juin 2010) : Cyberattaque sophistiquée ayant visé les systèmes industriels SCADA. Stuxnet s’est propagé par clé USB et utilisait de multiples vulnérabilités de type 0-day dans Windows.
Night Dragon (février 2011) : Cyberattaque d’origine chinoise visant diverses sociétés dans le domaine de l’énergie, des hydrocarbures et de la pétrochimie. Elle aurait utilisé plusieurs formes d’attaques (ingénierie sociale, phishing, exploitation de failles Windows ou compromission d’annuaires Active Directory).
RSA (mars 2011) : Cyberattaque ayant dérobé des informations liées à la solution d’authentification "SecurID" de RSA. Elle repose sur un fichier Excel embarquant un contenu Flash malveillant qui utilise une vulnérabilité de type 0-day pour infecter les postes des collaborateurs. Cette attaque utilise HTran, ainsi que l’outil d’administration à distance Poison Ivy.
Nitro (octobre 2011) : Cyberattaque visant de grands noms de l’industrie chimique. Elle envoie des e-mails malveillants afin d’installer Poison Ivy sur les postes des victimes.
Recommandations et conclusions
Comme annoncé dans la Une de ce bulletin, contrer les cyberattaques est loin d’être une tâche facile et il n’existe pas de solution toute prête. Il s’agit plutôt d’un ensemble de mesures à mettre en œuvre pour contrer ou au moins ralentir les pirates dans leur activité d’espionnage.
On retiendra les recommandations suivantes :
- maintenir à jour les systèmes (correctifs de sécurité, solutions antivirales)
- utiliser des systèmes de prévention d’intrusion
- sensibiliser les utilisateurs
- mettre en place des techniques de filtrage au niveau de la messagerie
- surveiller et analyser toute anomalie
En conclusion, on retiendra que Shady RAT a suscité d’une part un emballement médiatique lors de la publication du rapport de Mc Afee, d’autre part une polémique entre les différents éditeurs quant à son niveau de technicité. Il reste qu’il fait partie de la liste des attaques APT auxquelles on assiste depuis maintenant près de deux ans et auxquelles doit se préparer activement toute organisation abritant des informations sensibles.
Pour plus d’information :
White Paper de Mac Afee intitulé "Revealed: Operation Shady RAT" : http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf
Blog de Symantec du 4 août 2011 : http://www.symantec.com/connect/fr/blogs/truth-behind-shady-rat?API1=100&API2=4165004
Article de Clubic du 19 août 2011 : http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-441418-eugene-kaspersky-juge-rapport-shady-rat-mcafee-infonde.html
Article de The Inquirer "Security Industry is divided over Shady RAT" du 18 août 2011 : http://www.theinquirer.net/inquirer/news/2102780/security-industry-divided-shady-rat