Des chercheurs découvrent le mystérieux groupe de cyberespionnage « Metador »

LABSCON – Scottsdale, Arizona – Un nouvel acteur menaçant qui a infecté une entreprise de télécommunications au Moyen-Orient et plusieurs fournisseurs de services Internet et universités au Moyen-Orient et en Afrique est responsable de deux plates-formes malveillantes « extrêmement complexes » – mais beaucoup sur le groupe qui reste entouré de mystère, selon de nouvelles recherches révélées ici aujourd’hui.

Les chercheurs de SentintelLabs, qui ont partagé leurs découvertes lors de la toute première conférence sur la sécurité LabsCon, ont nommé le groupe Metador, sur la base de l’expression « Je suis méta » qui apparaît dans le code malveillant et du fait que les messages du serveur sont généralement en espagnol. On pense que le groupe est actif depuis décembre 2020, mais il a réussi à voler sous le radar au cours des dernières années. Juan Andrés Guerrero-Saade, directeur principal de SentinelLabs, a déclaré que l’équipe partageait des informations sur Metador avec des chercheurs d’autres entreprises de sécurité et des partenaires gouvernementaux, mais que personne ne savait rien du groupe.

Les chercheurs de Guerrero-Saade et SentinelLabs Amitai Ben Shushan Ehrlich et Aleksandar Milenkoski ont publié un article de blog et détails techniques sur les deux plates-formes de logiciels malveillants, metaMain et Mafalda, dans l’espoir de trouver plus de victimes infectées. « Nous savions où ils étaient, pas où ils sont maintenant », a déclaré Guerrero-Saade.

MetaMain est une porte dérobée qui peut enregistrer l’activité de la souris et du clavier, prendre des captures d’écran et exfiltrer des données et des fichiers. Il peut également être utilisé pour installer Mafalda, un cadre hautement modulaire qui offre aux attaquants la possibilité de collecter des informations système et réseau et d’autres fonctionnalités supplémentaires. MetaMain et Mafalda fonctionnent entièrement en mémoire et ne s’installent pas sur le disque dur du système.

Bande dessinée politique

On pense que le nom du logiciel malveillant a été inspiré par Mafalda, un dessin animé populaire en espagnol d’Argentine qui commente régulièrement des sujets politiques.

Metador a configuré des adresses IP uniques pour chaque victime, garantissant que même si une commande et un contrôle sont découverts, le reste de l’infrastructure reste opérationnel. Cela rend également extrêmement difficile de trouver d’autres victimes. Il arrive souvent que lorsque les chercheurs découvrent une infrastructure d’attaque, ils trouvent des informations appartenant à plusieurs victimes, ce qui aide à cartographier l’étendue des activités du groupe. Parce que Metador maintient ses campagnes ciblées séparées, les chercheurs n’ont qu’une vision limitée des opérations de Metador et du type de victimes que le groupe cible.

Ce que le groupe ne semble pas déranger, cependant, c’est de se mélanger avec d’autres groupes d’attaque. La société de télécommunications du Moyen-Orient qui a été l’une des victimes de Metador a déjà été compromise par au moins 10 autres groupes d’attaque d’États-nations, ont découvert les chercheurs. Bon nombre des autres groupes semblaient être affiliés à la Chine et à l’Iran.

Plusieurs groupes de menaces ciblant le même système sont parfois appelés « aimants de menaces », car ils attirent et hébergent simultanément les différents groupes et plates-formes de logiciels malveillants. De nombreux acteurs de l’État-nation prennent le temps d’éliminer les traces d’infection par d’autres groupes, allant même jusqu’à corriger les failles utilisées par les autres groupes, avant de mener leurs propres activités d’attaque. Le fait que Metador ait infecté des logiciels malveillants sur un système déjà compromis (à plusieurs reprises) par d’autres groupes suggère que le groupe ne se soucie pas de ce que les autres groupes feraient, ont déclaré les chercheurs de SentinelLabs.

Il est possible que l’entreprise de télécommunications ait été une cible si importante que le groupe était prêt à prendre le risque d’être détecté, car la présence de plusieurs groupes sur le même système augmente la probabilité que la victime remarque quelque chose d’anormal.

Attaque de requin

Alors que le groupe semble être extrêmement bien doté en ressources – comme en témoignent la complexité technique du logiciel malveillant, la sécurité opérationnelle avancée du groupe pour échapper à la détection et le fait qu’il est en cours de développement – Guerrero-Saade a averti que ce n’était pas suffisant. pour déterminer qu’il y avait une implication de l’État-nation. Il est possible que Metador soit le produit d’un entrepreneur travaillant pour le compte d’un État-nation, car il y a des signes que le groupe était très professionnel, a déclaré Geurrero-Saade. Et les membres peuvent avoir une expérience antérieure dans la réalisation de ce type d’attaques à ce niveau, a-t-il noté.

« Nous considérons la découverte de Metador comme un aileron de requin perçant la surface de l’eau », ont écrit les chercheurs, notant qu’ils n’ont aucune idée de ce qui se passe en dessous. « C’est une cause d’appréhension qui justifie la nécessité pour l’industrie de la sécurité de concevoir de manière proactive la détection de la véritable couche supérieure des acteurs de la menace qui traversent actuellement les réseaux en toute impunité. »