Les États-Unis révèlent comment le FSB a utilisé Snake pour voler des données

Le gouvernement américain a donné aux professionnels de la cybersécurité un rare aperçu du fonctionnement d'un malware créé par une agence d'espionnage étrangère. Le ministère américain de la justice a annoncé qu'un réseau de machines compromises par le Service fédéral de sécurité (FSB) a été mis hors service après avoir été opérationnel pendant plus de 20 ans.

Dans le cadre de cette annonce, l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a révélé comment le FSB a créé un réseau peer-to-peer, baptisé Snake. Ce réseau était utilisé pour voler des informations à des entreprises, des organismes des médias, des établissements d'enseignement, des agences gouvernementales et des prestataires de services financiers dans le monde entier.

Selon la CISA, Snake est basé sur une architecture modulaire qui a permis au FSB d'ajouter au fil des ans de nouvelles capacités à ce que l'agence décrit comme l'un des outils de cyberespionnage les plus sophistiqués jamais créés.

Fonctionnement de Snake

Snake utilise plusieurs composants pour le même objectif, ce qui lui permet de s'adapter à différents environnements, y compris les systèmes Windows, MacOS et Linux. Les protocoles de communication réseau personnalisés créés fonctionnent essentiellement comme une pile, toutes les implémentations utilisant une couche de chiffrement et une couche de transport. Chacune de ces couches met en œuvre une interface spécifique pour pouvoir fonctionner avec les deux couches adjacentes. La couche de chiffrement et la couche de transport sous-jacente fonctionnent donc indépendamment, de sorte que le protocole du réseau Snake peut utiliser une couche de chiffrement sans devoir modifier le code de la couche de chiffrement.

Cette approche garantit que tout le trafic allant vers une machine compromise suit l'implémentation d'un protocole HTTP personnalisé ou d'un socket TCP brut de manière à établir des connexions Secure Shell (SSH). Écrit en C, cela prouve selon la CISA, que les développeurs de Snake ont des connaissances pointues en sciences informatiques, notamment la sélection et le codage correct d'algorithmes asymptotiquement optimaux, l'utilisation de méthodologies de codage personnalisées efficaces qui ressemblent étroitement à des schémas de codage courants et enfin, la gestion des nombreuses erreurs possibles associées à la programmation au niveau du système, le tout de façon sécurisée.

Snake est quasiment impossible à détecter en raison de la construction de son module de noyau. Toutes les versions Windows connues de Snake, par exemple, ont utilisé un mécanisme de stockage dissimulé pour masquer les composants hôtes. En plus d'utiliser le module de noyau pour retirer les composants pertinents de toute liste renvoyée par le système d'exploitation, Snake utilise le module de noyau pour corriger toute requête entre les composants du mode utilisateur de Snake et le mécanisme de stockage dissimulé, lui-même chiffré avec une clé unique par implant. Il n'y a donc aucune signature qui pourrait être détectée par les logiciels antimalware.

Snake maintient la persistance sur un système Windows en créant un « WerFaultSvc ».  Au démarrage, ce service exécute le fichier WerFault.exe de Snake, que les développeurs de Snake ont choisi de cacher parmi les nombreux fichiers Windows « WerFault.exe » valides dans le répertoire %windows%\WinSxS\. L'exécution de WerFault.exe lance le processus de déchiffrement des composants de Snake et leur chargement dans la mémoire.

Retourner Snake contre lui-même

La seule chose que les développeurs de Snake n'ont pas prise en compte, c'est que le réseau qu'ils ont créé possède des identifiants uniques. Le FSB a utilisé la bibliothèque OpenSSL pour gérer son échange de clés Diffie-Hellman. Le jeu de clés Diffie-Hellman créé par Snake pendant l'échange de clés est trop court pour être sécurisé. Le FSB a fourni la fonction DH_generate_parameters avec une longueur primaire de seulement 128 bits, ce qui n'est pas adapté aux systèmes de clés asymétriques. De plus, dans certains cas, Snake semble avoir été précipité. Cela a conduit à la découverte de nombreux noms de fonctions, de chaînes en texte clair et commentaires des développeurs lorsque les opérateurs du FSB ont oublié de supprimer le binaire Snake.

Les enquêteurs ont finalement découvert que le HTTP personnalisé utilisé par Snake pour implémenter la maintenance de session permettait au malware de traiter plusieurs paquets HTTP dans une seule session chiffrée avec la clé faible. Cette découverte a permis aux enquêteurs de prendre des empreintes des données envoyées d'une machine infectée par Snake à une autre. Un outil PERSEUS a ensuite été créé dans le cadre de l'opération MEDUSA pour envoyer des commandes au malware Snake qui le désactiveront définitivement.

Aussi innovant que cela puisse paraître, le FSB déploie fréquemment un « keylogger » avec Snake qui peut être utilisé pour voler les informations d'authentification des comptes, telles que les noms d'utilisateur et les mots de passe. Les entreprises qui ont été compromises par Snake doivent savoir que les identifiants volés peuvent être utilisés pour accéder à nouveau aux systèmes compromis et aux comptes en ligne.

Il peut être un peu décourageant de réaliser à quel point les attaques lancées par les entreprises de cyberespionnage sont vraiment sophistiquées et les professionnels de la cybersécurité doivent supposer que ces types d'attaques sont plus nombreux qu'on ne le pense. Le point positif est que les agences gouvernementales chargées de mettre un terme à ces attaques deviennent de plus en plus intelligentes, ce qui laisse espérer que d'autres attaques seront déjouées dans les mois et les années à venir.

Cet avis commun en matière de cybersécurité contient des informations sur Snake et l'opération de démantèlement.