APT31 / Zirconium

APT31 est un groupe Advanced Persistent Threat qui se concentre sur le vol de propriété intellectuelle et la publicité malveillante. Ce groupe est également appelé Zirconium, Judgment Panda et Bronze Vinewood par différentes organisations de sécurité. Comme avec la plupart des autres groupes APT, on soupçonne APT31 d'être parrainé par l'État et dans ce cas, l'État suspecté est la Chine. À l'été 2020, le groupe d'analyse des menaces de Google a suggéré qu'APT31 ciblait la campagne présidentielle de Joe Biden avec des e-mails de phishing.

Processus de redirection forcée d'APT31

En 2017, APT31 dirigeait la plus grande opération de publicité malveillante. Le groupe avait créé pas moins de 28 fausses sociétés de publicité. Selon Confiant, Zirconium avait acheté environ 1 milliard de vues publicitaires et avait réussi à accéder à 62% de tous les sites Web monétisés. Le principal vecteur d'attaque utilisé par APT31 était la redirection forcée. Une redirection forcée se produit lorsqu'une personne naviguant sur un site Web est redirigée vers un autre site Web sans que l'utilisateur n'agisse. Le site Web sur lequel l'utilisateur se retrouve est couramment utilisé dans le cadre d'une escroquerie ou conduit à une infection par un logiciel malveillant.

myadsbro apt31 page d'accueil
Capture d'écran de la page d'accueil MyAdsBro - source: blog Confiant.com

APT31 a créé et utilisé Beginads, une fausse agence de publicité, pour établir des relations avec des plates-formes publicitaires. En bout de ligne, c'est devenu le domaine que Zirconium utiliserait pour diriger le trafic pour toutes les campagnes de toutes leurs fausses agences. APT31 a travaillé dur pour s'assurer qu'ils avaient des relations d'apparence légitime avec un certain nombre de vraies plates-formes publicitaires. Cette approche a également donné au programme une certaine résilience et l'a rendu moins susceptible de susciter des soupçons. APT31 a également revendu du trafic à des plateformes de marketing d'affiliation. Cet arrangement signifiait qu'APT31 n'avait pas à exploiter les pages de destination seul. Les cybercriminels sont allés plus loin en créant un réseau d'affiliation qu'ils exploitaient eux-mêmes. Le réseau s'appelait MyAdsBro. APT31 avait l'habitude de lancer ses propres campagnes via MyAdsBro, mais d'autres pouvaient également pousser le trafic vers MyAdsBro moyennant une commission.

Client de page myadsbro
Capture d'écran du panneau Web du client - source: blog Confiant.com

Une fois les redirections effectuées, les utilisateurs ont été incités à activer l'infection via certaines des tactiques les plus populaires:

  • Fake pop-ups de mise à jour d'Adobe Flash Player
  • Faux pop-ups antivirus
  • Escroqueries au support technique
  • Divers messages de scareware

APT31 s'est donné beaucoup de mal pour établir son programme et le rendre légitime. Toutes les fausses agences disposaient de divers supports marketing, de faux agents avec des profils dans les médias sociaux et même de publications dans lesdits médias avec un contenu unique. La plupart des entreprises produites en masse par Zirconium ont été lancées au printemps 2017. Toutes les 28 n'ont pas été utilisées car 8 d'entre elles n'ont jamais commencé leur présence sur les réseaux sociaux et ne se sont impliquées dans aucune activité publicitaire . Les efforts du cybercriminel ont clairement été couronnés de succès. Les fausses agences d'APT31 ont réussi à créer des relations commerciales directes avec 16 vraies plates-formes publicitaires.

Seule une petite partie du trafic a été redirigée vers une charge utile réelle. Afin d'éviter la détection et l'analyse, le zirconium a utilisé des méthodes d'évasion. APT31 a utilisé une technique appelée empreinte digitale. C'est un processus où les cybercriminels collectent des informations sur les systèmes des victimes potentielles pour cibler plus précisément une partie particulière du public. Le but des cybercriminels lors de l'utilisation des empreintes digitales est d'éviter la détection. À cette fin, ils utiliseraient JavaScript dans le navigateur pour essayer de vérifier si le script s'exécutait sur un scanner de sécurité. Si des signes d'un scanner étaient détectés, la charge utile ne serait pas livrée. Il existe un risque lié à la prise d'empreintes digitales. Le script est visible par quiconque le recherche et cela peut soulever des soupçons, mais l'empreinte digitale permet un plus grand nombre de déploiements de la charge utile.

APT31 exploite ses tactiques sournoises

Il existe d'autres moyens d'éviter la détection qui n'impliquent pas d'exécuter un script du côté de l'utilisateur. Les mécanismes côté serveur peuvent être plus sûrs à appliquer car un chercheur en sécurité ne pourrait pas les analyser à moins qu'ils ne se déclenchent. Une telle approche consiste à vérifier si l'adresse IP de l'utilisateur est une adresse IP de centre de données. Les scanners utilisent souvent des adresses IP de centre de données et la détection d'une telle adresse IP serait un signe clair de ne pas déployer la charge utile.

Malgré l'ampleur impressionnante de l'opération de malvertising d'APT31, les chercheurs en sécurité identifient toujours leur objectif principal comme le vol de propriété intellectuelle. La véritable portée de toutes les opérations de Zirconium est encore inconnue, tout comme leur potentiel de nuire.

Tendance

Le plus regardé

Chargement...