Le groupe Secret Blizzard, associé au service de renseignement russe FSB, a profondément reconfiguré son outil historique Kazuar. Ce backdoor, documenté depuis 2017 et dont les traces remontent à 2005, est désormais structuré comme un botnet pair-à-pair (P2P) modulaire.
Ce groupe, dont l’activité recoupe celle de Turla et Venomous Bear, cible principalement les organisations gouvernementales, diplomatiques et les infrastructures critiques en Europe, en Asie et en Ukraine.
A lire aussi
- Pourquoi la fonction de sécurité du Pixel rend la conduite plus dangereuse
- Pourquoi la nouvelle faille Exchange met en danger vos emails dès maintenant
Une architecture en trois modules distincts
Selon une analyse publiée par Microsoft, la nouvelle variante de Kazuar repose sur trois composants : un module Kernel, un module Bridge et un module Worker. Chacun remplit une fonction précise dans la chaîne d’attaque.
Le module Kernel joue le rôle de coordinateur central. Il désigne parmi les systèmes infectés un « leader », dont la mission est de communiquer avec le serveur de commande et contrôle (C2). Les autres machines infectées passent en mode silencieux et n’émettent aucun trafic externe direct, ce qui réduit considérablement la surface de détection.
Le choix du leader est automatique et repose sur des critères internes comme le temps de fonctionnement et le nombre de redémarrages. Ce mécanisme autonome évite toute intervention manuelle des opérateurs pour maintenir la cohérence du réseau infecté.
Des communications conçues pour se fondre dans le trafic normal
Le module Bridge assure le relais entre le leader Kernel et l’infrastructure C2 distante, via des protocoles courants tels que HTTP, WebSockets ou Exchange Web Services. Cette diversité de canaux complique l’identification du trafic malveillant par les outils de surveillance réseau.
En interne, les échanges entre modules utilisent des mécanismes Windows classiques comme les named pipes, les Mailslots et la messagerie inter-processus. Les messages sont chiffrés en AES et sérialisés avec Google Protocol Buffers, deux choix qui favorisent la discrétion et la robustesse.
Des capacités d’espionnage étendues
Le module Worker concentre les opérations de collecte de données. Il prend en charge l’enregistrement des frappes clavier, la capture d’écran, la récupération de fichiers récents, la collecte d’emails via MAPI (y compris Outlook) et la reconnaissance réseau et système.
Kazuar intègre également 150 options de configuration. Les opérateurs peuvent activer ou désactiver des contournements de sécurité spécifiques, dont des mécanismes ciblant l’AMSI (Antimalware Scan Interface), l’ETW (Event Tracing for Windows) et la Windows Lockdown Policy. Ils peuvent aussi ajuster la fréquence et la taille des données exfiltrées.
Des recommandations centrées sur la détection comportementale
Microsoft souligne que la nature modulaire et hautement configurable de Kazuar le rend peu sensible aux approches de détection basées sur des signatures statiques. Le malware peut être adapté rapidement pour contourner de nouveaux contrôles.
La firme recommande aux organisations de concentrer leur défense sur l’analyse comportementale, plus à même de détecter des activités anormales indépendamment des variantes spécifiques du code. L’objectif de Secret Blizzard étant la persistance à long terme pour collecter des informations politiquement sensibles, la détection précoce reste le facteur clé.
Source : Bleeping Computer
