Posté le août 21, 2023 à 6:04
UN GROUPE DE HACKERS CHINOIS CIBLE L’INDUSTRIE DES JEUX D’ARGENT EN ASIE DU SUD-EST EN UTILISANT UN CERTIFICAT DU VPN IVACY VOLÉ
Un groupe de hackers Chinois, Bronze Starlight, a lancé une campagne de piratage informatique contre l’industrie des jeux d’argent en Asie du Sud-Est. Le groupe de hackers a utilisé un certificat valide pour lancer cette campagne malveillante tout en utilisant le réseau privé virtuel (VPN) Ivacy.
Le groupe de hackers Bronze Starlight lié à une campagne récente
Les activités de ce groupe de hackers ont été révélées dans une recherche menée par SentinelLabs. Selon les rapports, l’exploitation du certificat VPN Ivacy de cette manière permet aux hackers de faire contourner plus facilement à leurs logiciels malveillants toutes les mesures de sécurité en place.
Les activités de ce groupe de hackers peuvent se poursuivre sans éveiller les soupçons ni susciter de réaction de la part des systèmes de sécurité présents sur l’appareil de la cible. Ce sont les équipes de cybersécurité de MalwareHunterTeam de X, anciennement connu sous le nom de Twitter, qui ont initialement signalé la menace posée par ce logiciel malveillant. Le problème remonte au 29 mai 2023.
La cyberattaque a été attribuée au groupe de hackers Bronze Starlight, le problème ayant également été analysé par SentinelLabs. La cyberattaque a été détectée pour la première fois en mars 2023, la campagne de piratage étant considérée comme faisant partie d’une campagne de piratage en cours connue sous le nom d’opération ChattyGoblin.
Cette campagne de piratage commence généralement par la diffusion par l’acteur de la menace d’exécutables .NET, probablement AdventureQuest.exe. Ces exécutables sont envoyés au système de la victime à l’aide d’applications de chat manipulées.
Les exécutables récupèrent ensuite des archives ZIP protégées par mot de passe dans les dépôts de stockage d’Alibaba. Pour ce faire, des versions vulnérables de programmes tels que Adobe Creative Cloud, McAfee VirusScan et Microsoft Edge sont utilisées. Ces programmes sont généralement vulnérables au détournement de DLL.
AdventureQuest.exe a été initialement détecté par une équipe de cybersécurité appelée MalwareHunterTeam en mai. À l’époque, l’équipe de recherche avait noté que le certificat utilisé dans la campagne était similaire à celui utilisé pour soutenir les installations légitimes du VPN Ivacy.
La recherche de SentinelLabs a en outre indiqué que les exécutables détectés par les hackers identifiaient l’utilisation de géo-restrictions pour s’assurer que le logiciel malveillant n’est pas exécuté à travers un large éventail de pays occidentaux comme l’Allemagne, la France, les États-Unis, le Canada, l’Inde, la Russie et le Royaume-Uni.
L’une des raisons pour lesquelles les hackers ont évité les pays occidentaux est qu’ils n’étaient probablement pas la cible visée. Le fait d’éviter ces pays devrait également réduire les chances que le piratage soit détecté.
Le rôle du VPN Ivacy
Le certificat du VPN Ivacy a été mis en œuvre dans cette campagne de piratage. Cependant, les développeurs du logiciel malveillant n’étaient peut-être pas au courant de la campagne de piratage. Le certificat appartient à PMG PTE Ltd, qui est à l’origine du VPN Ivacy.
Selon les chercheurs, le même certificat a été utilisé pour signer le programme d’installation officiel du VPN Ivacy associé au site web du fournisseur de VPN. Cependant, cela ne montre pas que l’entreprise a volontairement remis ce certificat aux hackers.
SentinelLabs a par ailleurs indiqué qu’il était probable que les clés de signature de PMG PTE LTD aient été volées à un moment ou à un autre. Le vol de ces clés était une technique familière des hackers Chinois pour favoriser la signature de logiciels malveillants.
Selon les chercheurs, il est assez courant de cibler les fournisseurs de VPN de cette manière. Les fournisseurs de VPN sont généralement les cibles car ils permettent aux acteurs de la menace d’accéder aux données et aux communications sensibles des utilisateurs. La campagne de piratage pose maintenant des problèmes pour ceux qui utilisent le VPN Ivacy, car les hackers pourraient avoir accédé à plus d’informations à partir de leurs comptes.
DigiCert a depuis révoqué le certificat compromis, pas par l’équipe d’Ivacy VPN. Bien que le problème ait été détecté il y a quelques mois, ni Ivacy VPN ni PMG PTE Ltd n’ont publié de déclaration ou répondu aux questions posées par les publications pour en savoir plus sur la campagne de piratage et la manière dont elle s’est déroulée.
Toutefois, ce problème a suscité des inquiétudes dans le secteur des VPN, dont l’existence vise à renforcer la confiance des utilisateurs et des fournisseurs. Chaque fois qu’un fournisseur de VPN ne parvient pas à résoudre un problème, on peut se demander s’il était au courant de la campagne de piratage et si les hackers ont accédé à des données sensibles.
Compte tenu de la nature de ces exploits de piratage, Ivacy VPN doit clarifier la nature de la campagne. Le fournisseur de VPN doit également donner à ses clients des détails sur les informations qui ont pu être consultées et sur la manière dont il a résolu le problème.
En attendant qu’Ivacy VPN se penche sur la question, il est conseillé aux clients de préserver leur vie privée et leur sécurité. Il est également essentiel que les utilisateurs optent pour un fournisseur de VPN transparent et ouvert afin de garantir le respect de leur vie privée en ligne.
