Le groupe de pirates russes Secret Blizzard a transformé son logiciel malveillant de longue date, Kazuar, en un réseau de machines zombies modulaire et fonctionnant en pair-à-pair. Ce botnet est conçu pour une persistance sur le long terme, la furtivité et la collecte de données.
Les activités de Secret Blizzard recoupent celles des groupes Turla, Uroburos et Venomous Bear. Ce groupe est associé au service de renseignement russe, le FSB. Il cible des organisations gouvernementales et diplomatiques, des entités liées à la défense et des systèmes critiques en Europe, en Asie et en Ukraine.
Le code de Kazuar remonte à 2005, et ce logiciel malveillant est documenté depuis 2017. Son activité a été reliée au groupe d’espionnage Turla, qui travaille pour le FSB.
En 2020, des chercheurs ont exposé son déploiement lors d’attaques contre des organisations gouvernementales européennes. Trois ans plus tard, il a été observé dans des attaques visant l’Ukraine.
Une architecture modulaire évoluée
Des chercheurs de Microsoft ont analysé une variante récente de Kazuar. Ils ont constaté que le logiciel malveillant fonctionne désormais avec trois modules distincts : un module noyau, un module pont et un module travailleur.
Le module noyau est le coordinateur central. Il gère les tâches, contrôle les autres modules, désigne un système leader et orchestre les communications ainsi que le flux de données à travers le botnet.
Le leader est un système infecté au sein d’un environnement compromis. Il communique avec le serveur de commande et de contrôle, reçoit les tâches et les transmet aux autres machines infectées du réseau.
Les systèmes qui ne sont pas leaders passent en mode « silencieux » et ne communiquent pas directement avec le serveur de commande. Cette approche améliore la furtivité et réduit les risques de détection.
Le processus de sélection du leader est interne et autonome. Il se base sur des critères comme la durée de fonctionnement, les redémarrages et le nombre d’interruptions.
Le module pont sert de proxy de communication externe. Il relaie le trafic entre le leader du module noyau et l’infrastructure distante de commande et de contrôle. Il utilise des protocoles comme HTTP, WebSockets ou Exchange Web Services.
Source : Microsoft
Les communications internes s’appuient sur des mécanismes de communication inter-processus, comme la messagerie Windows, les mailslots ou les tubes nommés. Ces méthodes se fondent dans le bruit opérationnel normal. Les messages sont chiffrés avec AES et sérialisés avec Google Protocol Buffers.
Le module travailleur exécute les véritables opérations d’espionnage. Il enregistre les frappes au clavier, capture des captures d’écran, récolte des données du système de fichiers et effectue une reconnaissance du système et du réseau. Il collecte également des données de courrier électronique via MAPI, surveille les fenêtres actives et vole les fichiers récents.
Les données collectées sont chiffrées, stockées localement, puis exfiltrées via le module pont.
Source : Microsoft
Microsoft souligne la polyvalence de Kazuar. Le logiciel malveillant propose désormais 150 options de configuration. Les opérateurs peuvent activer ou désactiver des contournements de sécurité spécifiques, planifier des tâches, chronométrer le vol de données, définir la taille des paquets d’exfiltration, effectuer des injections de processus et gérer l’exécution de commandes.
Concernant les contournements de sécurité, Kazuar offre désormais des options pour neutraliser l’interface d’analyse anti-programme malveillant de Windows, le suivi d’événements pour Windows et la politique de verrouillage Windows.
Secret Blizzard cherche généralement à maintenir une persistance à long terme sur les systèmes cibles pour collecter des renseignements. L’acteur exfiltre des documents et du contenu de courrier électronique qui ont une importance politique.
Microsoft recommande aux entreprises de concentrer leur défense sur la détection comportementale plutôt que sur des signatures statiques. La nature modulaire et hautement configurable de Kazuar rend cette menace particulièrement difficile à détecter.