Posté le juin 18, 2020 à 13:51
ESET DÉCOUVRE DES ATTAQUES PAR COMPROMISSION DE LA MESSAGERIE EN ENTREPRISE PAR LES HACKERS D’ÉTAT NORD-CORÉENS
Les chercheurs d’ESET ont rapporté que des hackers nord-coréens parrainés par l’État tentaient de voler l’argent des victimes de leurs précédentes cyber-attaques à des fins de cyber-espionnage.
Le fabricant slovaque d’antivirus a signalé cette tentative de cyber-espionnage mardi lors de la conférence sur la sécurité du monde virtuel d’ESET. L’équipe de recherche a révélé que l’opération a été perpétrée par le groupe de hackers parrainé par le gouvernement de Pyongyang.
La campagne de piratage, dont le nom de code est « Operation In(ter)ception », a été mise en place principalement pour le vol financier et le cyber-espionnage.
La tentative d’espionnage serait menée par le groupe Lazarus
ESET a révélé cette évolution récente à des milliers de spectateurs lors de l’événement diffusé en direct. Jean-Ian Boutin, l’un des chercheurs en sécurité d’ESET, a souligné que l’attaque a été orchestrée par des membres du groupe de hackers connu sous le nom de groupe Lazarus, le très connu groupe de hackers sponsorisé par le gouvernement coréen pour pirater les agences gouvernementales étrangères et les grandes entreprises. Le groupe fait également partie de l’unité de renseignement de la Corée du Nord.
Les attaques ont visé les entreprises militaires et l’industrie aérospatiale européenne
Boutin a révélé que les hackers de Lazarus visaient l’industrie aérospatiale européenne et les entreprises fabriquant des armes militaires. Il a décrit comment les hackers ont approché leurs cibles en utilisant des messages privés et des profils de recruteurs de postes sur LinkedIn. Ils attirent l’attention de la cible en se déguisant en entreprise menant un entretien d’embauche. Les cibles ont été invitées à ouvrir des archives et à consulter certains dossiers qui contiendraient des informations sur l’entreprise et sur leurs salaires une fois qu’elles sont employées.
Mais en réalité, selon M. Boutin, les fichiers ont été infectés par un logiciel malveillant qui donne aux hackers un accès initial au système de la victime pour de futures attaques.
Le chercheur d’ESET a également révélé qu’après que les hackers aient infecté l’ordinateur de la victime, ils concluaient le processus d’interview et informaient la victime que l’interview n’avait pas réussi. Ensuite, ils suppriment complètement leur profil LinkedIn en une seule fois.
Cependant, le hacker poursuivrait ses opérations sur le système de l’utilisateur en se basant sur les fichiers infectés. Ils se répandent dans l’ordinateur de la victime à la recherche de plus d’informations et de données.
Les chercheurs d’ESET ont déclaré avoir découvert que les attaquants interrogeaient le serveur Active Directory (AD) pour obtenir les comptes des administrateurs et des informations sur les autres employés. L’objectif était d’effectuer par la suite des attaques par force brute sur le compte de l’administrateur.
Selon ESET, l’attaque semble avoir eu lieu entre septembre et décembre de l’année dernière, d’après l' »Operation In(ter)ception » qu’ils ont trouvée.
En général, les cibles comprenaient les employés travaillant dans les entreprises militaires et dans l’industrie aérospatiale européenne, car la plupart d’entre eux se sont vu proposer des emplois fictifs dans des entreprises plus prestigieuses.
Tentatives d’attaque par compromission de messagerie en entreprise
M. Boutin a rappelé que même après avoir recueilli les données et les renseignements exclusifs qu’ils souhaitent obtenir de la société cible, ils continueraient à lancer d’autres attaques et intrusions. Habituellement, les autres hackers effacent leurs empreintes pour éviter d’être repérés, mais ils tentent ensuite de tromper les partenaires commerciaux de l’entreprise infectée.
Boutin a également révélé que le groupe de hackers piraterait les boîtes de réception des sociétés piratées pour accéder à leurs factures impayées. Ils agissent ensuite sur les factures, trompant le client pour qu’il envoie le paiement à la facture, bien qu’à un numéro de compte différent qu’ils fournissent.
« Ils ont suivi la conversation et ont exhorté le client à payer la facture, cependant, sur un compte bancaire différent de celui convenu précédemment », a déclaré l’équipe de recherche d’ESET.