Logiciel malveillant ApolloShadow
ApolloShadow est une souche de malware sophistiquée déployée dans le cadre de campagnes de cyberespionnage menées par un acteur malveillant connu sous le nom de Secret Blizzard. Ce groupe, soupçonné d'appartenir au Service fédéral de sécurité russe (FSB), est associé à plusieurs autres noms de code, notamment ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug et Wraith. Ce malware est activement utilisé dans des opérations ciblant des entités sensibles à Moscou depuis au moins 2024, et de fortes indications laissent penser que ces campagnes vont se développer.
Table des matières
Une menace personnalisée : origine et capacités d’ApolloShadow
ApolloShadow est un outil malveillant sur mesure conçu pour l'espionnage. Son déploiement est lié à des campagnes ciblant des institutions diplomatiques et d'autres organisations de grande valeur, notamment celles dépendant des services Internet et de télécommunications russes. Ce logiciel malveillant se propage grâce à des techniques avancées d'attaque par adversaire du milieu (AiTM), où les attaquants interceptent les communications entre la victime et les services légitimes.
Lors des dernières campagnes d'ApolloShadow, la technique AiTM a été mise en œuvre au niveau du fournisseur d'accès à Internet (FAI). Les victimes étaient redirigées vers un portail captif conçu pour imiter le comportement légitime de Windows. Lorsque l'indicateur d'état de connectivité de test Windows était déclenché, au lieu d'accéder à une page de vérification standard, l'utilisateur était redirigé vers un domaine contrôlé par les attaquants. Cette redirection entraînait une invite incitant l'utilisateur à installer un certificat racine frauduleux, souvent déguisé en logiciel de sécurité fiable, pour lancer la chaîne d'infection.
Briser la sécurité : comment ApolloShadow compromet les appareils
L'installation du certificat racine est l'étape clé qui permet à ApolloShadow d'accéder au système. Une fois activé, il effectue plusieurs opérations :
- Collecte des informations sur les appareils et le réseau, y compris les adresses IP.
- Tentatives d'obtention de privilèges d'administrateur via une fausse invite de contrôle de compte d'utilisateur (UAC). Dans les cas observés, le programme d'installation s'appelait « CertificateDB.exe ».
- Affiche des fenêtres contextuelles trompeuses indiquant que des certificats sont en cours d'installation.
Après avoir obtenu des privilèges élevés, le logiciel malveillant rend l'appareil infecté détectable sur le réseau local. Il tente ensuite d'affaiblir les défenses du système en modifiant les paramètres du pare-feu et en autorisant le partage de fichiers. Pour contourner la sécurité du navigateur :
- Les navigateurs basés sur Chromium font automatiquement confiance au certificat malveillant.
- Firefox nécessite cependant des modifications de configuration supplémentaires de la part du malware pour éviter d'être détecté.
ApolloShadow garantit également un accès à long terme en créant un compte utilisateur administratif persistant nommé « UpdatusUser », qui utilise un mot de passe codé en dur et non expirant.
Infiltration profonde : ce que permet ApolloShadow
ApolloShadow est soupçonné de permettre des attaques par piratage TLS/SSL. Ces attaques forcent les navigateurs à se connecter sans chiffrement sécurisé, permettant ainsi au logiciel malveillant de surveiller l'activité de navigation et de potentiellement collecter des informations sensibles comme les jetons de connexion et les identifiants.
La furtivité et la persistance du logiciel malveillant le rendent exceptionnellement dangereux. Sa capacité à rester indétectable tout en collectant des renseignements et en fournissant un accès à distance souligne son utilité dans les cyberopérations commanditées par un État.
Outils de tromperie : ingénierie sociale et vecteurs d’infection
Les campagnes ApolloShadow associent manipulation technique et ingénierie sociale. Les victimes sont non seulement redirigées et manipulées par des attaques au niveau du réseau, mais sont également ciblées par des messages trompeurs les incitant à installer des certificats malveillants se faisant passer pour des logiciels de confiance.
Bien que les campagnes ApolloShadow s'appuient principalement sur l'interception au niveau du FAI et sur l'ingénierie sociale, les vecteurs d'infection peuvent se propager via des tactiques de diffusion de logiciels malveillants plus conventionnelles.
Méthodes courantes de distribution des logiciels malveillants :
Tactiques trompeuses :
- Messages d’hameçonnage (e-mails, messages privés, publications sur les réseaux sociaux).
- Liens ou pièces jointes malveillants.
- Mises à jour ou installateurs de logiciels frauduleux.
Sources de téléchargement non sécurisées :
- Sites Web non officiels.
- Services d'hébergement de fichiers gratuits.
- Plateformes de partage peer-to-peer (P2P).
De plus, certaines souches de logiciels malveillants, y compris des outils avancés comme ApolloShadow, peuvent se propager via des réseaux locaux ou se propager à l'aide de périphériques de stockage amovibles tels que des clés USB ou des disques durs externes.
Conclusion : une menace d’espionnage sérieuse
ApolloShadow représente une menace sérieuse de cyberespionnage aux motivations géopolitiques fortes. En s'appuyant sur des marques de confiance, des attaques réseau trompeuses et des méthodes d'accès persistantes, Secret Blizzard a développé un puissant outil de collecte de renseignements. Les organisations opérant dans ou à proximité des régions sous influence russe, en particulier celles qui dépendent de FAI locaux, doivent adopter des protocoles de sécurité renforcés pour se protéger contre cette menace en constante évolution.
