Elder Wood, le couteau Suisse pirate ultime

Posted On 19 Mai 2014

Tag: Elderwood, hidden lynx, ice fog, jolob, sakurel, ZX shell

Il est difficile de lier définitivement l’utilisation d’exploits zero-day à un groupe de pirate précis. Une fois un exploit 0day déployé lors d’une attaque, il peut être désassemblé, copié et fabriqué de nouveau, avec des modifications, dans d’autres attaquants informatiques. Un couteau Suisse très usité dans le black market, qui servirait de point central aux dernières attaques en date, est montré du doigt. Son nom, ElderWood.

La plate-forme Elderwood est particulièrement facile à décortiquer, ses exploits sont soigneusement séparés de la charge utile qui permet de pirater, infiltrer, sites, serveurs et autres machines connectés. Dans les dernières attaques observées, un modèle de répétition orchestré par les groupes pirates utilisant des 0day Internet Explorer et Flash montrent que les malveillants utilisent les mêmes familles de logiciels d’attaques. Ces exploits partagent aussi de nombreuses similitudes dans leur mise en œuvre. Cette preuve indiquerait qu’il y a un plus grand niveau de communication entre les groupes qui lancent ces attaques.

Pour Symantec, le créateur de Elderwood est très certainement un fournisseur tiers, mais il pourrait aussi être une organisation majeure spécialisée dans le cyber crime avec ses propres équipes. Chose est certaine, les différents groupes exploitant les 0day d’Elderwood ont l’argent et la motivation. Bref, ils présentent une menace sérieuse pour les cibles potentielles.

Elderwood, une arme numérique efficace

Ces derniers mois, quatre groupes ont été ciblés (mais non tracés, ndr) : Hidden Lynx (Invisble Lynx). Ce groupe s’est attaqué à l’industrie de la défense dans une opération baptisée Bonhomme de neige (Snowman). Ils ont surtout exploité le malware ZX Shell via la faille Internet Explorer (CVE-2014-0322). Dans la même famille, Vid grab Team. Cette équipe s’est attaquée aux internautes japonais et aux dissidents Ouïghours. Ils ont été classifiés après la découverte de la backdoor éponyme, ainsi que la porte cachée du nom de Jolob. La première backdoor exploitait un 0day Internet Explorer (CVE-2014-0322), la seconde, une vulnérablité Flash (Adobe – Adobe Flash).

Le troisième groupe de pirates qui passeraient par ElderWood, se nomme Icefog. Ce groupe s’est attaqué à des centaines d’entreprises manufacturières pour voler des bases de données. Les pirates informatiques de cette bande ont exploité des 0day pour les produits Adobe et Microsoft : CVE-2012-0779 ; CVE-2014-0324 via les backdoors Linfo et Hormesu.

Le dernier groupe connu est celui qui laisse penser que la Corée du Nord, La Russie, l’Inde ou encore la Chine sont les points de rapatriement des informations collectées. Le groupe Sakurel s’est attaqué, via quatre 0day (IE et Flash), à des fabricants de moteurs de fusée (missile et aérospatial).

Des outils comme ElderWood qui se vendent comme des petits pains, à l’image de Black Shades, un cheval de Troie que le FBI a mis dans sa ligne de mire en arrêtant, fin mai, plusieurs dizaines d’utilisateurs de part le monde.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.