Posté le novembre 28, 2021 à 19:11

DES HACKERS UTILISENT LE LOGICIEL MALVEILLANT TARDIGRADE POUR ATTAQUER DES ENTREPRISES DU SECTEUR DE LA BIOPRODUCTION

Les cyberattaques se sont multipliées récemment en raison de l’augmentation des vulnérabilités de différents logiciels. Récemment, une attaque par une menace persistante avancée (APT) a été menée contre deux entreprises de bioproduction.

L’attaque en question s’est produite en 2021, et elle a été menée par le biais d’un chargeur de logiciels malveillants connu sous le nom de Tardigrade. Les détails de ce logiciel malveillant et sa détection sur les deux entreprises de bioproduction ont été publiés par le Bioeconomy Information Sharing and Analysis Center (BIO-ISAC) dans un avis publié cette semaine.

Le logiciel malveillant se propage dans tout le secteur

La détection du logiciel malveillant n’est pas le seul élément inquiétant, selon les chercheurs. Les données disponibles montrent que le logiciel malveillant se propage rapidement dans le secteur. De plus, il est doté de capacités avancées qui peuvent affecter de manière significative les opérations des entreprises touchées.

Les chercheurs ont déclaré que si ce logiciel malveillant pénètre dans le secteur, son objectif est de voler la propriété intellectuelle. En outre, il présente une nature persistante en ce sens qu’il peut rester sur les systèmes pendant une longue période. Le motif des attaquants derrière ce logiciel malveillant peut également s’étendre aux ransomwares, étant donné l’étendue et la sensibilité des données qu’ils peuvent voler.

Les enquêtes menées par BIO-ISAC ont eu lieu au printemps de cette année, après qu’une attaque par ransomware ait été menée contre une entreprise de bioproduction. Toutefois, le nom de cette entreprise n’a pas été révélé au cours de l’enquête.

Les résultats de l’enquête ont montré que le logiciel malveillant à l’origine de cette attaque était connu sous le nom de Tardigrade. Ce logiciel malveillant est sophistiqué car il permet aux attaquants de dissimuler leurs informations afin de voler des données aux entreprises concernées sans être détectés.

Dans le rapport, les chercheurs de BIO-ISAC ont déclaré que ce logiciel malveillant était doté d’un « haut degré d’autonomie ainsi que de capacités métamorphiques ». Le logiciel malveillant a également montré sa persistance à être utilisé dans différentes entreprises, puisqu’en octobre 2021, il a été détecté dans une autre entreprise de bioproduction.

La capacité de ce logiciel malveillant à dérober furtivement des informations dans les systèmes de l’entreprise et à être utilisé dans différentes entreprises a créé une situation inquiétante. Les entreprises de bioproduction doivent être à l’affût et adopter des mesures de cybersécurité avancées qui permettront de propager Tardigrade dans tout le secteur.

Le logiciel malveillant Tardigrade n’est lié à aucun pays ou groupe de hackers

La plupart du temps, les attaques contre les entreprises de biofabrication et les grandes institutions mondiales sont le fait de hackers parrainés par des États, qui cherchent à voler des biens immatériels et à accéder à des informations.

Cependant, le logiciel malveillant Tardigrade n’a été associé à aucun groupe connu dans cette situation récente. Malgré la nature active de la propagation du logiciel malveillant et ses capacités avancées, les acteurs malveillants n’ont laissé aucune information substantielle qui pourrait amener les chercheurs à les relier à une nation quelconque.

Cependant, l’agence a déclaré que plusieurs caractéristiques des récentes attaques de logiciels malveillants montrent un modèle de travail et un mode d’attaque similaires qui sont attribués à un groupe de hackers basé en Russie.

Comme indiqué à plusieurs reprises, Tardigrade est l’un des logiciels malveillants les plus avancés à avoir été détecté. Le logiciel malveillant compromet les serveurs des systèmes d’une institution si un utilisateur du réseau ouvre un e-mail de phishing. Il peut également se propager par le biais d’un périphérique USB infecté.

Tardigrade est également une ramification avancée de SmokeLoader. Il s’agit d’une porte dérobée sur les appareils Windows exploitée par un groupe de hackers connu sous le nom de Smoky Spider. Cette porte dérobée est l’un des plus anciens logiciels malveillants du marché, puisqu’elle est disponible à la vente sur le dark web depuis 2011.

Dans sa forme initiale, ce logiciel malveillant avait une capacité de traitement qui lui permettait de capturer les frappes au clavier. Il a également trouvé un moyen de se déplacer sur l’ensemble du réseau compromis et d’augmenter ses privilèges sur les systèmes.

L’autre caractéristique de ce logiciel malveillant est qu’il peut également être utilisé comme point d’entrée pour d’autres charges utiles de logiciels malveillants. Dans ce cas, il s’est développé d’une manière qui lui permet de fonctionner dans l’anonymat même lorsqu’il ne peut pas se connecter à son serveur de commande et de contrôle. Ainsi, il peut poursuivre indéfiniment ses activités malveillantes sur le réseau.

Étant donné la capacité de ce logiciel malveillant à se propager dans le secteur et à être utilisé pour voler des propriétés intellectuelles, il est conseillé aux entreprises du secteur de la bioproduction de s’assurer que leurs systèmes sont à jour et que toutes les vulnérabilités du système sont corrigées.

En outre, il a été conseillé à ces entreprises de mettre en place une segmentation du réseau et de tester des sauvegardes hors ligne pour leurs infrastructures critiques afin d’atténuer les risques.

« Ce logiciel malveillant est extrêmement difficile à détecter en raison de son comportement métamorphique. Il est important d’être vigilant sur les ordinateurs d’entreprise du personnel clé. De nombreuses machines dans ce secteur utilisent des systèmes d’exploitation obsolètes. Segmentez-les activement et accélérez les délais de mise à niveau », ont déclaré les chercheurs.