La campagne de cyber attaques utilisant des emails, dont le nom de code est « Scarlet Mimic », a fait l’objet d’un suivi de chercheurs de la compagnie de cyber sécurité Palo Alto pendant quatre ans. Selon leurs conclusions, cette campagne a été principalement orientée pour recueillir des informations sur des groupes d’activistes, de défenseurs des droits des minorités, des organismes gouvernementaux et des sociétés high-tech.
Bien que le groupe soit actif depuis 4 années, la plupart des attaques ont eu lieu en 2015 et orientées vers le recueil des informations sur les mouvements d’opposition, les personnes impliquées dans la critique de gouvernements et sur les activités de militants musulmans.
L’équipe de Palo Alto Networks a également déclaré qu’elle n’a pas pu trouver un lien entre Scarlet Mimic et un gouvernement ou des gouvernements précis cependant il s’agit d’un groupe disposant de ressources importantes et de compétences et qui bénéficient donc certainement d’un soutien étatique.
La cyberarme clé choisie par Scarlet Mimic est le FakeM. Des chevaux de Troie qui exploitent cinq vulnérabilités de Microsoft pour créer des backdoors dont une ayant un C&C (Command and Control) qui élude facilement la détection en imitant Yahoo et Windows Messagers. Neuf familles distinctes de téléchargement ont été développées par Scarlet Mimic pour distribuer FakeM. Palo Alto a également découvert que FakeM crypte ses communications, une version utilise même un protocole SSL entièrement personnalisé.
Les vulnérabilités sont les suivantes :
CVE-2012-0158 •
CVE-2010-3333 •
CVE-2010-2883 •
CVE-2010-2572 •
CVE-2009-3129 •
Le groupe de hackers tente également d’élargir la portée de ses attaques en utilisant d’autres outils avec C&C (CallMe Trojan, Psylo et MobileOrder) ce qui suggère que Scarlet Mimic veut étendre ses activités à d’autres périphériques dont ceux mobiles, un changement majeur dans sa tactique.
Technique utilisée :
Scarlet Mimic envoie à la victime un e-mail spear-phishing dont la teneur du contenu de l’email va attirer l’attention du destinataire. Cet email comporte une pièce jointe, qui est un document qui exploite une vulnérabilité de Microsoft Office. L’attachement utilise un nom de fichier qui est en rapport avec la teneur du contenu de l’email pour inciter l’utilisateur à l’ouvrir. Si l’utilisateur ouvre le fichier et l’exploitation réussie, un cheval de Troie installe un backdoor dans le système qui donne à l’attaquant un accès. Un document leurre est alors affiché. Les documents leurres sont généralement des versions non-malveillantes du contenu que l’utilisateur s’attendait à voir quand il a cliqué sur la pièce jointe. Une technique pour ne pas éveiller sa méfiance.
Attaque utilisant un article du New York Time pour leurrer les victimes :
Attaque utilisant un communiqué de presse pour leurrer des militants et des activistes appartenant à des minorités :
Scarlet Mimic privilégie les attaques du type Spear Phishing et celle du type Watering Hole ainsi que l’utilisation de documents de leurres. Il n’est pas pour autant très sophistiqué dans l’élaboration des documents malveillants pour leurrer, ce n’est pas la cas pour le développement des Trojan Horse (Chevaux de Troie) et des charges utiles (Payloads). Le groupe a créé des documents malveillants utilisant les outils MNKit, Tran Duy Linh et WingD. Ces outils ou kits sont aussi utilisés par de nombreux hackers pour le Phishing. Malgré la perspicacité technique apparente, ses documents de leurres ne sont généralement pas bien conçus mais utilisent la langue de la victime.
Parmi ces documents celui montrant des similitudes entre Vladimir Poutine et Adolph Hitler :
Scarlet Mimic est un groupe professionnel de cyberespionage, bien financé et disposant certainement de ressources et soutiens étatiques.