LES HACKERS NORD-CORÉENS LANCENT UN NOUVEAU LOGICIEL MALVEILLANT APPELÉ ELECTRICFISH SELON LES AUTORITÉS FÉDÉRALES AMÉRICAINES

Posté le mai 13, 2019 à 6:36

LES HACKERS NORD-CORÉENS LANCENT UN NOUVEAU LOGICIEL MALVEILLANT APPELÉ ELECTRICFISH SELON LES AUTORITÉS FÉDÉRALES AMÉRICAINES

La DHS (Département de la Sécurité Intérieure) et le FBI ont découvert une nouvelle souche de logiciels malveillants qui, selon eux, est utilisée dans une nouvelle vague de cyberattaques nord-coréennes. Le rapport conjointement publié par les deux agences fédérales indique qu’il a été découvert alors que les agences suivaient les activités du groupe de hackers Hidden Cobra.

Hidden Cobra, également connu sous le nom de Lazarus Group, est considéré comme un groupe de hackers soutenu par l’État-nation de la Corée du Nord. Le groupe est surtout connu pour ses attaques contre des institutions financières, des importants réseaux industriels et des groupes de recherche abritant une propriété intellectuelle précieuse.

ElectricFish a été découvert à partir d’un seul fichier exécutable de Windows

Les agences affirment avoir été en mesure d’identifier et de trouver ElectricFish via un seul exécutable Windows 32 bits. Ils ont poursuivi en expliquant qu’après avoir remanié le fichier exe, ils ont pu conclure que le logiciel malveillant contenait en fait un protocole personnalisé permettant à un attaquant de canaliser le trafic entre une adresse IP source et une adresse IP de destination.

C’est une façon ingénieuse pour les hackers de contourner les serveurs proxy sécurisés. ElectricFish est pratiquement capable de transférer n’importe quel trafic par le biais de proxys, ce qui lui permet d’atteindre ce qui se trouve à l’extérieur du réseau de la victime. Le rapport le met dans un meilleur contexte:

«Le logiciel malveillant peut être configuré avec un serveur proxy/port et un nom d’utilisateur et un mot de passe proxy. Cette fonctionnalité permet la connectivité à un système situé à l’intérieur d’un serveur proxy, ce qui permet à l’acteur de contourner l’authentification requise du système compromis pour accéder à l’extérieur du réseau.»

Il existe un utilitaire de ligne de commande qui commence une tentative d’établissement d’une session TCP entre les adresses IP source et destination, et une fois réussi, il ne lance que son propre protocole. Cela lui permet de pousser une bonne quantité de trafic entre les machines afin de préparer le terrain pour une plus grande pénétration.

Le rapport ajoute que l’en-tête du paquet d’authentification qui établit le lien est complètement statique, à l’exception des octets 0X2B6E qui changent chaque fois qu’une connexion tente de s’établir. Cette méthode très subtile permet au groupe contrôlant le logiciel malveillant de rester discret. Ils peuvent utiliser cette méthode pour canaliser secrètement des informations provenant de la machine d’une source critique et, en même temps, ils peuvent garder leurs activités discrètement afin que leur vol ne soit pas découvert.

Les agences s’efforcent d’accroître l’efficacité globale de la cybersécurité

L’avis a été publié afin que d’autres puissent garder leurs réseaux et leur système aussi sûrs que possible.  Le seul moyen de lutter contre ces programmes malveillants est de les rendre publics afin que le plus grand nombre possible de professionnels de la cybersécurité soient conscients de la menace. Ils ont également inclus un IOC (Indicators of Compromise) pour ElectricFish, que vous pouvez trouver ici.

Ce n’est que le dernier en date d’une série du rapport officiel émis par des agences fédérales, le rapport précédent étant lié à un autre acte nord-coréen appelé Hoplight. Hoplight est également un logiciel malveillant créé par Hidden Cobra et il s’agit d’une porte dérobée qui envoie des informations de la machine de la victime à un serveur C2C (commande et contrôle). C’est une porte dérobée particulièrement nuisible, capable de modifier les paramètres du registre sur un ordinateur infecté. En outre, Hoplight peut ouvrir et fermer des processus et télécharger des fichiers sur un système infecté.

Les agences du gouvernement fédéral américain traquent Hidden Cobra depuis l’épidémie massive de rançongiciel WansCry. On pensait également que cette épidémie était l’œuvre de hackers nord-coréens, et de nombreux membres de la communauté de l’Infosec pensent qu’elle provient de Hidden Cobra.

L’ouverture d’esprit que ces agences montrent en publiant ceci le plus tôt possible est bien différente de celle des jours précédents où les agences gouvernementales ne participaient pas de cette manière à la communauté de la cybersécurité.

Summary
LES HACKERS NORD-CORÉENS LANCENT UN NOUVEAU LOGICIEL MALVEILLANT APPELÉ ELECTRICFISH SELON LES AUTORITÉS FÉDÉRALES AMÉRICAINES
Article Name
LES HACKERS NORD-CORÉENS LANCENT UN NOUVEAU LOGICIEL MALVEILLANT APPELÉ ELECTRICFISH SELON LES AUTORITÉS FÉDÉRALES AMÉRICAINES
Description
La DHS (Département de la Sécurité Intérieure) et le FBI ont découvert une nouvelle souche de logiciels malveillants qui, selon eux, est utilisée dans une nouvelle vague de cyberattaques nord-coréennes.
Author
Publisher Name
Koddos
Publisher Logo

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

%d blogueurs aiment cette page :