Cette attaque sophistiquée utilise des outils de Surveillance mobile appelés “Monokle”
La société Lookout, spécialiste de la sécurité des mobiles, a découvert une nouvelle menace très ciblée en provenance de Russie. Cette attaque sophistiquée utilise des outils de Surveillance mobile appelés “Monokle”.
Les recherches menées par la société Lookout ont permis de tracer cette attaque et de la relier à une société basée en Russie nommée “Special Technology Centre, Ltd. (STC, Ltd. ou STC).”
Fin 2016, un amendement (Executive Order 13964) a été publié par le président Barack Obama, imposant des sanctions à l’encontre de STC, une des trois sociétés ayant fourni un soutien matériel à la Direction générale du renseignement russe (GRU) lors de leur ingérence présumée dans l’élection présidentielle américaine de 2016. STC est un sous-traitant privé de la défense, réputé pour la production de véhicules aériens sans pilote (UAV) et d’équipements de radiofréquence (RF) destinés à l’armée russe et à d’autres clients gouvernementaux. STC opère à Saint-Pétersbourg depuis 2000 et compte environ 1500 employés.
Développé par STC, Monokle est un logiciel de surveillance mobile avancé qui compromet la vie privée de l’utilisateur en exflitrant les données personnelles stockées sur un appareil infecté via une infrastructure de commande et de contrôle (C2C). Bien que la plupart de ses fonctionnalités soient typiques d’un logiciel de surveillance mobile, Monokle se distingue par le fait qu’il utilise une méthode innovante pour être extrêmement efficace lors de l’exfiltration de données, même sans accès root. Monokle utilise notamment les services d’accessibilité Android pour exfiltrer les données d’applications tierces et utilise des dictionnaires de texte prédictifs de l’utilisateur pour avoir une idée des sujets d’intérêt pour une cible. Monokle permet également de réaliser une capture d’écran lors du déverrouillage d’écran afin de compromettre le code PIN, le schéma ou le mot de passe d’un utilisateur.
Monokle apparaît dans un ensemble très limité d’applications, ce qui implique que les attaques utilisant Monokle sont très ciblées. Beaucoup de ces applications sont “trojanisées” et incluent des fonctionnalités légitimes, de sorte que les utilisateurs ne soupçonnent rien. Les données de surveillance indiquent que cet outil est toujours en cours de déploiement actif.
Lookout a été capable de relier STC à Monokle, car la société a également découvert que STC développait un ensemble d’applications de sécurité Android, notamment une solution antivirus, qui partage la même infrastructure que les composants de Monokle. Ces applications auraient été développées «pour un client gouvernemental» selon un développeur de STC.
Lookout a diffusé le 23 juillet un rapport complet de cette nouvelle menace, listant plus de 80 indicateurs de compromissions (IOCS) permettant aux entreprises ou gouvernements qui le souhaitent de chercher ces marqueurs de compromissions sur leur flotte installée. Les clients Lookout sont protégés contre ces attaques depuis début 2018.
Lookout a découvert un nouveau logiciel de surveillance mobile appelé Monokle.
- Monokle est un logiciel de surveillance mobile sophistiqué doté d’une fonctionnalité d’accès distant (RAT), de techniques avancées d’exfiltration de données ainsi que de la possibilité d’installer un certificat spécifié par un attaquant sur les certificats sécurisés d’un périphérique infecté pour autoriser les attaques Man-in-the-Middle (MITM).
- Lookout effectue le suivi de ce logiciel depuis juin 2015. Les sondes de Lookout indiquent que l’activité semble rester faible, mais constante, avec un pic au premier semestre 2018.
- Monokle utilise les services d’accessibilité d’Android pour exfiltrer des données d’applications tierces en lisant le texte affiché sur l’écran d’un appareil.
- Une version iOS de Monokle est en cours de développement. Lookout n’a aucune preuve d’infections iOS actives à ce jour.
- Monokle a probablement été utilisé pour cibler des individus dans les régions du Caucase et des individus intéressés par le groupe militant Ahrar al-Sham en Syrie, entre autres.
Special Technology Center (STC) est un prestataire russe de la défense sanctionné par le gouvernement américain en raison de prétendues ingérences lors de l’élection présidentielle américaine de 2016.
- STC est réputé pour la production de véhicules aériens sans pilote (UAV) et d’équipements de radiofréquence (RF)
- STC a été sanctionné par le gouvernement américain en raison de son soutien matériel à la Direction générale du renseignement (GRU) et de son assistance lors des opérations de renseignement.
STC développe des logiciels de sécurité Android offensifs et défensifs
- Les chercheurs de Lookout ont découvert des capacités de surveillance et de développement de logiciels mobiles inconnues auparavant, suggérant que les logiciels composant Monokle fonctionnent à la fois en offensif et en défensif.
- Sa solution antivirus Android s’appelle Defender et son logiciel de surveillance mobile, Monokle. C’est par le biais de connexions entre les deux infrastructures que Lookout peut établir de manière concluante que STC est le développeur de Monokle.
- Lookout a découvert des liens entre les activités de développement de logiciels Android de STC et les indicateurs de compromission de Monokle.
- Lookout a découvert une infrastructure de C2C partagée utilisée par des applications Android légitimes et malveillantes produites par STC.
- Les outils offensifs et défensifs de STC ont été mentionnés par un développeur de STC, indiquant avoir été développés «pour un client gouvernemental».
- Les données de surveillance indiquent que cet outil est toujours utilisé et qu’une version iOS est en cours de développement.
Dans le rapport du 23 juillet 2019, Lookout publie plus de 80 indicateurs de compromissions (IOC) :
- 57 hash SHA-128 et 1 règle YARA rule pour Android
- 22 domaines et adresses IP
- 4 numéros de téléphones mobiles russes utilisés par les pirates pour suivre le déploiement et contrôler à distance les téléphones.