Publié ce vendredi par la société Prodaft, un rapport présente la manière dont le groupe SilverFish a pu opérer pendant plusieurs mois, de fin août 2020 jusqu’à début mars 2021.
Le rapport fait état d’un certain nombre d’observables précédemment attribués à des campagnes Trickbot, WastedLocker, DarkHydrus, à l’attaque de SolarWinds ou encore à des acteurs comme Evil Corp.
En se basant sur les IOC fournis dans le rapport de FireEye et après avoir généré une empreinte permettant d’identifier d’autres serveurs appartenant au groupe, il a été possible de pousser l’analyse encore plus loin grâce aux données issues d’un serveur de commande et de contrôle (C2) auquel les chercheurs ont eu accès.
Profil
Plusieurs éléments indiquent un niveau de sophistication élevé et des capacités techniques avancées. Nous retrouvons ainsi, entre autres :
- Une utilisation d’outils sur-mesure dédiés à la post-exploitation, possédant des capacités de filtrage très fines permettant des actions précises et discrètes ;
- Une compatibilité avec un large éventail de systèmes ;
- Une expertise dans le durcissement du système des C2.
Cette recherche de l’optimal se retrouve dans une autre particularité du groupe : « VictimTotal ». À l’instar de VirusTotal, qui permet de télécharger un exécutable depuis une interface web et d’obtenir le résultat de son scan par plusieurs dizaines d’antivirus différents, les opérateurs de SilverFish sont en mesure de déployer un script sur les machines infectées et de suivre la manière dont réagissent les différentes solutions de sécurité présentes.
Différents éléments laissent à penser que ce groupe est professionnel, cadré et organisé. Nous retrouvons notamment une baisse marquée d’activité le samedi et le dimanche, ainsi qu’en dehors des « heures de bureau » (ici entre 08h00 et 20h00 UTC).
L’interface d’administration des machines infectées est également pensée pour permettre la gestion de plusieurs campagnes par plusieurs équipes en parallèle, et ceci d’une manière hiérarchisée.
Ainsi, il est possible de configurer la plateforme pour router le flux des victimes automatiquement vers l’équipe appropriée ou de changer leur assignation à tout moment.
Objectifs
D’après les auteurs du rapport, le but principal du groupe SilverFish est d’identifier puis d’exfiltrer des données sensibles de la manière la plus discrète possible.
Ces données, ainsi exfiltrées, pourront être revendues sur des forums de criminels ou utilisées pour faire pression sur les victimes dans le but de les obliger à payer une rançon.
Ciblage
L’équipe de Prodaft a constaté qu’au moins 4 720 organisations différentes avaient été ciblées par SilverFish. Il s’agit essentiellement d’entités européennes et américaines : le C2 analysé était configuré pour n’accepter de nouvelles victimes que depuis les pays de la liste suivante :
- Allemagne
- Angleterre
- Australie
- Autriche
- Canada
- Danemark
- Espagne
- France
- Italie
- Mexique
- Pays-Bas
- Portugal
- USA
Une autre liste était configurée pour rejeter explicitement l’enregistrement de nouvelles machines provenant des pays suivants :
- Armenie
- Azerbaijan
- Biélorussie
- Géorgie
- Kazakhstan
- Kyrgyzstan
- Moldavie
- Ouzbekistan
- Russie
- Tajikistan
- Turkmenistan
- Ukraine
De plus, la distribution des victimes donnée dans le rapport indique des tendances très nettes.
Les organisations les plus ciblées sont :
- Les entités gouvernementales : 21,3% ;
- Le secteur des services et de l’hôtellerie : 13,5% ;
- Le secteur de l’informatique et des nouvelles technologies : 11,3% ;
- Le secteur de l’éducation : 9,2% ;
- Le secteur de l’aviation et la défense : 7,0%.
Cette liste représente plus de 60% des attaques à elle seule.
La répartition des victimes en fonction de leur revenu annuel indiquent une recherche de cibles d’envergure : 46,1% des organisations ciblées ont un revenu annuel d’au moins $100M, pour seulement 8,42% en dessous de $1M.
Les chercheurs indiquent également avoir remarqué des commentaires indiquant spécifiquement d’ignorer les universités, les petites entreprises et les systèmes considérés comme sans intérêt.
Méthodes et techniques observées
Pour communiquer avec les serveurs du groupe, les implants utilisent la technique du domain fronting
: ils envoient leurs requêtes à des domaines de confiance dont la redirection est contrôlée par les attaquants. Ces domaines servent à opacifier la véritable destination du paquet en relayant la requête au reste de l’infrastructure.
Une fois l’accès initial obtenu, le groupe SilverFish déploie des boîtes à outils offensives pour consolider son accès et poursuivre la compromission du système. Les outils utilisés sont généralement connus et disponibles en libre accès : nous retrouvons par exemple des implants PowerShell Empire, Cobalt Strike et Koadic (aka. « C3 »).
Le rapport note également l’utilisation d’un binaire Windows légitime comme proxy à l’exécution des commandes PowerShell. Les opérateurs s’en servent principalement pour télécharger des outils de post-exploitation.
Une fois l’accès à la machine assuré, la phase de reconnaissance et de pivot démarre. L’accès aux logs du C2 a permis aux chercheurs de compiler toutes les commandes exécutées depuis son interface sur les machines infectées.
Les 5 commandes les plus utilisées servent toutes à obtenir des informations sur l’environnement du système, et en particulier sur sa configuration au sein d’un Active Directory.
On retrouve ainsi les commandes suivantes :
Occurrences | Commande | Détails |
2 880 | nltest /dclist: | Liste les contrôleurs de domaines présents au sein du domaine |
2 283 | nltest /domain_trusts | Liste les domaines fiables |
1 547 | cmdkey /list | Liste les identifiants stockés sur la machine |
670 | net group « domain admins »/domain | Liste les admin du domaine |
537 | dir c:\programdata | Affiche le contenu du dossier « ProgramData » afin de lister les logiciels installés |
Le rapport indique également l’utilisation d’un bon nombre de scripts créés sur mesure, dédiés principalement à la reconnaissance et à l’exfiltration des données récoltées.
On note l’utilisation d’une variété de langages de scripting, dont le PowerShell, le BAT, le CSPROJ, le JavaScript et le HTA. Ces scripts ont la particularité d’être lancés par le biais de binaires Windows légitimes et donc de contourner efficacement le SmartScreen.
Un script en particulier a attiré l’attention des chercheurs : baptisé Sarasota, cet outil écrit en PowerShell permet de rechercher des objets au sein de la structure de l’Active Directory ciblé de manière très fine. Il est par exemple possible de filtrer les résultats en fonction d’un SPN, d’un système d’exploitation ou encore d’un Service Pack particulier.
Un export des détails techniques au format STIX2 est disponible auprès du CERT-XMCO.