Posté le août 6, 2023 à 7:14
DES HACKERS NORD-CORÉENS PARRAINÉS PAR L’ÉTAT SONT LIÉS À L’INTRUSION DANS LE SYSTÈME INFORMATIQUE D’UN FABRICANT DE MISSILES RUSSE
Un groupe de hackers Nord-Coréens s’est introduit dans les systèmes informatiques d’une importante société Russe de développement de missiles. Selon un rapport de Reuters, l’intrusion en question a duré au moins cinq mois.
Des hackers Nord-Coréens s’infiltrent dans une entreprise Russe de fabrication de missiles
Le rapport de Reuters indique que des hackers liés au gouvernement Nord-Coréen ont lancé une campagne d’espionnage contre la Russie. Les groupes de hackers à l’origine de cette campagne de piratage sont Lazarus et ScarCruft, deux des groupes d’acteurs de menace Nord-Coréens les plus connus.
Les hackers ont installé une porte dérobée numérique au sein de NPO Mashinostroyeniya, un bureau de conception de fusées situé à Reutov. Les premières analyses de cette campagne de piratage ne permettent pas de déterminer si les hackers ont volé des données au cours de l’intrusion, ni le type d’informations auxquelles ils ont pu accéder.
Toutefois, le calendrier de cette campagne de piratage coïncide avec l’annonce par Pyongyang de développements importants dans le programme de missiles balistiques interdit. Toutefois, on ne sait pas si la campagne de piratage était liée à ses propres recherches sur les missiles balistiques.
NPO Mashinostroyeniya est un concepteur et fabricant basé en Russie. Cette société fabrique des véhicules orbitaux, des engins spatiaux, des missiles tactiques de défense et d’attaque utilisés par les armées de la Russie et de l’Inde. L’entreprise a déjà été sanctionnée par le département du Trésor Américain (OFAC) pour le rôle qu’elle a joué dans la guerre Russo-Ukrainienne.
Selon les recherches menées par SentinelLabs, le groupe de hackers ScarCruft est à l’origine de cette campagne de piratage qui a ciblé le serveur de messagerie et les systèmes informatiques de l’entreprise russe de développement de missiles. Les hackers à l’origine de l’exploit ont créé une porte dérobée Windows, OpenCarrot, qui leur a permis d’accéder à distance au réseau.
L’objectif principal de cette attaque n’a pas encore été déterminé. Le groupe de hackers ScarCruft, ou APT37, mène habituellement des campagnes de cyberespionnage. Les campagnes d’espionnage visent à surveiller et à voler des données aux organisations.
Les chercheurs en sécurité qui ont détecté la violation ont déclaré que l’analyse d’une fuite de courriels de l’entreprise Russe contenait des informations hautement confidentielles. Parmi les communications contenues dans ces e-mails, on trouve un rapport d’un membre du personnel informatique qui a mis en garde contre un possible incident de cybersécurité à la mi-mai de l’année dernière.
Sentinel Labs a exploité les informations contenues dans ces courriels pour mener une première enquête. Toutefois, à l’issue de l’enquête, les chercheurs ont déterminé qu’une intrusion beaucoup plus importante avait pu se produire, avec des effets d’une portée bien plus grande que ce que le fabricant de missiles n’avait réalisé.
Les courriels divulgués montrent le personnel informatique du fabricant de missiles discutant de communications réseau suspectes entre les processus s’exécutant sur les appareils internes et ceux s’exécutant sur les serveurs externes. L’entreprise a ensuite détecté une DLL malveillante dans les systèmes internes, ce qui l’a amenée à contacter le fournisseur d’antivirus pour déterminer comment cette violation s’était produite.
La porte dérobée OpenCarrot
Les chercheurs de Sentinel Labs ont également analysé les adresses IP et d’autres indicateurs de compromission (IOC) contenus dans les courriels ayant fait l’objet d’une fuite. Ils ont conclu que le fabricant de missiles Russe était infecté par la porte dérobée OpenCarrot Windows, qui a permis aux auteurs de la menace d’obtenir un accès non autorisé.
OpenCarrot est un logiciel malveillant de type backdoor qui contient de nombreuses fonctionnalités. Ce logiciel malveillant était auparavant associé au groupe de hackers parrainé par la Corée du Nord, Lazarus Group.
Il n’est pas encore possible de déterminer si ScarCruft et Lazarus sont à l’origine de la campagne de piratage en raison des différentes techniques utilisées. Cependant, il n’est pas rare que les hackers Nord-Coréens partagent des outils et des tactiques similaires pour mener leurs campagnes de piratage. Les hackers Nord-Coréens utilisent généralement des outils et des tactiques qui recoupent ceux utilisés par les acteurs de la menace parrainés par l’État.
La variante du logiciel malveillant OpenCarrot utilisée dans cette campagne de piratage a été mise en œuvre sous la forme d’un fichier DLL. Cette variante prend en charge les communications par proxy en utilisant les hôtes du réseau interne. La porte dérobée prend également en charge 25 commandes qui permettent au hacker d’accéder au système ciblé.
L’une de ces commandes est la reconnaissance, qui permet d’énumérer les attributs des fichiers et des processus, de scanner et d’envoyer des messages ICMP aux hôtes dans les plages IP pour vérifier l’ouverture des ports TCP et leur disponibilité. L’autre commande de la porte dérobée OpenCarrot est la manipulation du système de fichiers et des processus.
Cette porte dérobée comporte aussi une commande de reconfiguration et de connectivité qui permet de gérer les communications C2. Cette commande permet d’interrompre les canaux de communication existante et d’en établir de nouveaux. Elle peut également modifier les données de configuration du logiciel malveillant dans le système de fichiers et établir un proxy pour les connexions réseau.
Dans les cas où les utilisateurs légitimes des appareils compromis sont actifs, le logiciel malveillant de porte dérobée OpenCarrot entre en état de veille et surveille l’insertion d’un nouveau lecteur USD toutes les 15 secondes. Si un lecteur USDB est détecté, il peut être compromis et utilisé pour un mouvement latéral.