Posté le novembre 11, 2021 à 20:20
LES HACKERS NORD-CORÉENS S’INTÉRESSENT DE NOUVEAU AUX INSTITUTS DE RECHERCHE IMPORTANTS DU SUD
Un rapport récent a révélé qu’un groupe de hackers nord-coréens s’est attaqué à des groupes de réflexion dans le sud en plaçant des logiciels malveillants dans des articles de blog.
Le rapport indique que le groupe de menaces persistantes avancées (APT) parrainé par l’État est responsable de cette série d’attaques. Ils lancent des attaques sur les systèmes des victimes en implantant des logiciels malveillants de surveillance et de vol sur leurs machines.
Des chercheurs de Cisco Talcos ont déclaré que le Black Banshee (également appelé Thallium ou Kinsuky APT) implante du contenu malveillant sur Blogspot. Ils s’en servent pour attirer les groupes de réflexion basés en Corée du Sud dont les recherches portent sur des sujets militaires, diplomatiques et politiques concernant la Chine, la Corée du Nord, les États-Unis et la Russie. Selon le rapport, l’APT cible spécifiquement les organisations aérospatiales et géopolitiques.
Le groupe cible également des organisations américaines
Les chercheurs ont également déclaré que les acteurs de hackers sont actifs depuis 2012. En 2020, l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié un avis sur l’APT. À l’époque, l’agence a déclaré que le groupe de hackers est parrainé par le gouvernement nord-coréen et utilise la « collecte de renseignements mondiaux » pour cibler ses victimes. Le groupe a également ciblé des organisations aux États-Unis et au Japon.
Selon les chercheurs en sécurité d’AhnLab, les acteurs de la menace ont utilisé par le passé des documents de recherche, des questionnaires et des formulaires de compensation comme leurres de phishing. Et selon Talos, les hackers utilisent toujours des documents Microsoft Office malveillants comme vecteurs d’attaque. En général, ils incluent des macros VBA malveillantes dans les documents, et les charges utiles sont téléchargées depuis Blogspot lorsqu’elles sont déclenchées.
L’équipe de recherche a également constaté que les articles de blog fournissent trois types de contenu malveillant. Ceux-ci sont basés sur la famille de logiciels malveillants Brave Prince/Dragon, qui comprend des scripts de déploiement d’implants, des voleurs de fichiers et des balises initiales.
Le premier est spécifiquement conçu pour implanter des points d’extrémité et lancer d’autres composants de logiciels malveillants, notamment un voleur d’informations et un enregistreur de frappe.
Kinsuky utilise une approche différente de la menace
Les autres APT tentent généralement d’infiltrer le système et de voler tout contenu ou information qu’ils trouvent dans la machine compromise. Cependant, Kinsuky fonctionne différemment. Les hackers préfèrent analyser des informations spécifiques qui les intéressent. Ils sont donc plus efficaces puisqu’ils savent ce qu’ils recherchent.
Il s’agit notamment de contenus liés à la dénucléarisation, à la conception des fusées, à la Corée du Nord et aux relations entre les États-Unis et la Chine. En outre, ils recherchent spécifiquement des recherches sur la science des matériaux, la mécanique des fluides et le carburant d’aviation.
« Les attaquants savaient exactement quels fichiers ils recherchaient », a déclaré Talos.
Cela montre qu’ils ont une connaissance approfondie des points d’accès de leurs cibles, obtenue lors de précédents espionnages.
L’équipe de Talos a alerté Google de sa découverte et le contenu du blog a depuis été supprimé par Blogspot.
Les chercheurs ont également noté que le groupe de hackers Kinsuky a continuellement créé de nouvelles chaînes de contamination pour transmettre différents types de logiciels malveillants à leurs victimes.
Ce type d’attaque ciblée peut conduire à la fuite de recherches confidentielles. Il peut également conduire à des attaques destructives sur les organisations cibles ainsi qu’à des accès non autorisés à l’espionnage.
Des hackers à la recherche de données sur la fabrication du vaccin Covid-19
Dans le même ordre d’idées, des hackers nord-coréens ont été découverts en train de cibler des entreprises de santé impliquées dans la fabrication des vaccins Covid-19. Ils ont été découverts en train d’essayer de voler des informations relatives aux vaccins Covid-19 dans une multinationale des sciences de la vie.
La Corée du Nord affirme pourtant qu’il n’y a pas de cas de Covid-19 dans le pays. Et récemment, elle a refusé trois millions de doses de vaccin offertes par l’UNICEF.
L’entreprise de sciences de la vie, qui n’a pas été nommée, est un client de Secureworks. Elle a été piratée via une attaque de la chaîne d’approvisionnement similaire à celle de SolarWinds.
Plus tôt cette année, le National Intelligence Service (NIS) de Corée du Sud a réfuté l’affirmation selon laquelle Pfizer avait été piraté.
Secureworks a découvert que les hackers avaient accès au réseau d’un client anonyme via un fournisseur de services gérés (MSP). Cependant, ils ont été arrêtés avant d’avoir pu voler des informations dans le système.
La Corée du Nord a toujours été accusée de parrainer des hackers pour obtenir des informations sur des documents de recherche. Elle a également utilisé ces hackers pour remplir ses caisses à court d’argent. Toutefois, le récent ciblage de groupes de réflexion et de sociétés scientifiques sud-coréens ne semble pas avoir de motif financier.
