Posté le décembre 17, 2022 à 7:09
DES HACKERS INFECTENT DES INSTALLATEURS WINDOWS 10 ET UTILISENT TORRENTS POUR LANCER DES ATTAQUES CONTRE LE GOUVERNEMENT UKRAINIEN
Un groupe de hackers a utilisé des installateurs Windows 10 pour accéder au gouvernement Ukrainien. Ces hackers ont utilisé des torrents pour distribuer les installateurs de Windows 10, mener des attaques malveillantes et livrer des logiciels malveillants au gouvernement Ukrainien. Les chercheurs n’ont pas encore identifié les hackers à l’origine de cet exploit.
Des hackers utilisent des programmes d’installation Windows 10 pour transmettre des logiciels malveillants au gouvernement Ukrainien
Les découvertes concernant ces hackers proviennent des recherches menées par Mandiant, une société de cybersécurité. Au début de l’année, cette société de cybersécurité avait déclaré avoir détecté une attaque visant plusieurs appareils liés aux réseaux du gouvernement Ukrainien.
Les hackers ont mené ces exploits par le biais d’installateurs Windows 10 malveillants. Ces installateurs ont été personnalisés pour utiliser le pack linguistique proposé par l’Ukraine. Ces installateurs ont ensuite circulé à l’aide de torrents via un site web Ukrainien connu sous le nom de Toloka.to et un tracker de torrents basé en Russie.
L’installateur de Windows 10 que ces hackers ont créé montre qu’il a été fabriqué sur mesure. L’installateur a été personnalisé pour fonctionner sur des appareils uniques tels que des contrôleurs industriels et des systèmes médicaux. Cela a permis aux attaquants d’infiltrer certains des systèmes et organisations les plus sensibles.
Les informations relatives à ce programme d’installation montrent également qu’il pourrait être gratuit. Cependant, le rapport de la société de cybersécurité Mandiant indique que de multiples modifications ont déjà été apportées à cet installateur. Ces changements déclenchent le système d’exploitation pour voler les données sensibles des utilisateurs.
Les acteurs de la menace utilisent le système d’exploitation installé pour libérer un code malveillant supplémentaire dans l’appareil de l’utilisateur infecté. Ce code malveillant est lancé pour capturer les frappes au clavier, les mots de passe et les captures d’écran.
Les hackers ont également déclaré qu’ils travaillent à la désactivation de plusieurs fonctionnalités dans le programme d’installation de Windows 10. Ces fonctionnalités comprennent le blocage des domaines et des adresses IP liés aux services légitimes de Microsoft. Les hackers vont aussi plus loin en désactivant toute mise à jour automatique sur l’appareil cible, ce qui leur permet de continuer à mener leurs opérations sans être détectés ou bloqués hors des systèmes infiltrés.
Dans un rapport publié jeudi, Mandiant indique que l’entreprise de cybersécurité a détecté plusieurs installations d’un cheval de Troie ISO. Les chercheurs ont noté que les acteurs de la menace semblaient distribuer ces installateurs publiquement tout en utilisant une tâche planifiée pour indiquer si la victime devait déployer des charges utiles supplémentaires.
« Nous estimons que l’acteur de la menace a distribué ces installateurs publiquement et a ensuite utilisé une tâche de planification intégrée pour déterminer si la victime devait déployer d’autres charges utiles », ont déclaré les chercheurs de Mandiant.
L’identité des hackers reste inconnue
Les chercheurs de Mandiant ont admis qu’ils n’avaient pas recueilli suffisamment de preuves pour montrer les acteurs de la menace derrière les installateurs de Windows 10. Cependant, les attaquants ont ciblé des institutions qui sont historiquement connues pour être la cible du groupe de hackers parrainé par la Russie appelé Fancy Bear.
De plus, certaines des victimes touchées par les installateurs malveillants de Windows 10 ont été précédemment ciblées par des attaques de piratage destructeur d’effacement de données. Ces attaques ont eu lieu à peu près au moment où l’invasion Russe de l’Ukraine a commencé. Par conséquent, certains éléments suggèrent que les hackers pourraient être des acteurs de la menace basés en Russie.
Les chercheurs de Mandiant ont confirmé qu’ils n’ont pas détecté de liens liés à cette activité. Cependant, ils ont noté que les acteurs de la menace à l’origine de l’opération étaient motivés pour voler des informations au gouvernement Ukrainien.
Depuis le début de l’invasion Russe en Ukraine, le gouvernement Ukrainien a été la cible de multiples attaques de piratage lancées par des groupes d’acteurs de la menace soupçonnés d’être associés à la Russie.
Outre l’Ukraine, certains de ces hackers ont également ciblé d’autres pays, dont les États-Unis. Récemment, une attaque par déni de service distribué a été lancée contre des aéroports américains et le département du Trésor Américain. Toutefois, ces attaques étaient de faible ampleur et n’ont pas causé de dommages substantiels. Des attaques similaires ont également été lancées contre les sites Web des gouvernements des États, qui ont été mis hors ligne pendant un court moment avant de reprendre leurs services normaux.
Le piratage du gouvernement Ukrainien par le biais d’un cheval de Troie Windows 10 souligne les risques liés au téléchargement de logiciels et de fichiers piratés par le biais de torrents. Les sites web de torrents sont devenus de plus en plus populaires pour le téléchargement de films et de vidéos musicales piratés. Cependant, malgré leur popularité, ces plateformes peuvent parfois contenir des logiciels malveillants. Par conséquent, il est toujours conseillé aux utilisateurs de rester vigilants lorsqu’ils accèdent à ces téléchargements, car ils peuvent causer des dommages importants.