Posté le septembre 19, 2019 à 21:12

UN GROUPE DE HACKERS CIBLE LES ENTREPRISES DE TECHNOLOGIES DE L’INFORMATION DANS LE BUT D’ACCÉDER A LEURS RÉSEAUX DE CLIENTS

Une récente méthode de piratage aurait pour but de nuire aux entreprises fournissant des services informatiques avec des logiciels malveillants. L’idée est qu’il s’agit de l’étape initiale d’attaque sur la chaîne logistique visant à compromettre les organisations à ce niveau.

Le groupe de hackers derrière cette attaque s’appelle Tortoiseshell, et son modus operandi comprend l’utilisation d’une combinaison de plusieurs types de logiciels malveillants, notamment des personnalisés et des standards. Pour l’instant, rien n’indique que l’association soit liée à un État-nation particulier ou à un projet d’espionnage.

Ce sont les spécialistes de la cybersécurité de la société Symantec qui ont révélé les détails de l’opération, car aucune information n’était disponible avant que la société n’en parle.

Depuis juillet 2018

Selon les rapports, le groupe est opérationnel depuis juillet 2018 au minimum. Pendant sa période d’inactivité, elle a ciblé un minimum de 11 entreprises de TI, dont la majorité se trouvait en Arabie saoudite.

Selon les preuves disponibles à l’époque, les hackers pouvaient obtenir l’accès au niveau d’administration du domaine de quelques sociétés, leur permettant d’accéder aux machines et aux périphériques sur ce réseau.

Les enquêteurs ont découvert une évolution inquiétante : dans deux des cas, des centaines d’appareils ont été touchés par le logiciel malveillant en question, ce qui indique que les cybercriminels cherchaient à infecter le plus grand nombre possible d’ordinateurs dans les entreprises pour trouver les principales cibles.

La dernière attaque de Tortoiseshell a eu lieu il y a quelques semaines, en juillet 2019, lorsque l’activité du groupe a été enregistrée comme ayant repéré Backdoor.Syskit, une charge utile personnalisée unique.

Le mode de fonctionnement du logiciel malveillant consiste à ouvrir une porte dérobée dans les périphériques endommagés, ce qui permettra aux hackers de collecter des informations telles que la version du système d’exploitation, le numéro IP et le nom de l’ordinateur spécifique. Le logiciel malveillant est développé avec les langages Delphi et.NET.

La menace Syskit permet de télécharger et d’exécuter d’autres ressources et commandes. Les attaques perpétrées par Tortoiseshell peuvent utiliser des informations faciles à obtenir. Son but est de recueillir des données sur les utilisateurs, leurs habitudes, leur comportement et leurs activités.

Un serveur Web compromis peut être derrière l’attaque

La manière dont le logiciel malveillant est reproduit et/ou transmis n’est toujours pas claire, mais les enquêteurs spéculent sur le fait qu’un serveur Web compromis peut être à l’origine de sa reproduction et de sa transmission.

Compte tenu du fait que le signe initial d’une infection par un logiciel malveillant sur le réseau était une faille de shell Web, le scénario mentionné peut constituer une explication possible.

Selon Gavin O’Gorman, l’utilisation d’une faille obsolète ou rudimentaire pour compromettre un serveur Web spécifique peut généralement être une meilleure stratégie que le courrier électronique, par exemple, car l’envoi d’e-mails de phishing nécessite que l’attaquant ait au moins un certain niveau de connaissance de la personne recevant le message, avec une personnalisation en tête.

Comme l’attaque se concentre désormais sur les entreprises de TI, les enquêteurs et les spécialistes pensent qu’elle pourrait représenter la phase initiale d’un délit de chaîne d’approvisionnement et que les cybercriminels cherchent à violer les entreprises qui fournissent les TI comme plate-forme pour accéder aux réseaux et bases de données des clients.

Distribution de logiciels avec code malveillant

Les hackers qui exécutent des attaques de la chaîne logistique mettent souvent en œuvre plusieurs méthodes pour atteindre leur objectif, comme la distribution d’améliorations logicielles avec un code malveillant.  Et puisque les entreprises de TI ont tellement accès aux réseaux des clients, les cybercriminels les considèrent comme une cible de choix.

Le niveau d’intérêt des hackers pour ces entreprises est assez élevé. Symantec a conclu que beaucoup d’entre eux ont été ciblés dans le passé par des fuites de ressources liées à l’APT 34 (appelé aussi Oilrig et Helix Kitten) qui est une procédure de piratage habituellement associée aux autorités iraniennes.

En l’espèce, toutefois, aucun lien avec Tortoiseshell ne semble exister, du moins à en juger par les éléments de preuve trouvés par Symantec. Cependant, l’attaque de la chaîne logistique est un signe que certaines associations pourraient être intéressées par le Moyen-Orient et plus particulièrement l’Arabie Saoudite.