Posté le juin 9, 2019 à 10:14

UNE NOUVELLE VAGUE D’ATTAQUES SE PRODUIT AVEC LES ANCIENS LOGICIELS MALVEILLANTS ICEFOG DE TYPE APT

Les spécialistes de la cybersécurité ont repéré des logiciels malveillants ICEFOG dans de multiples attaques menées par des groupes de cyberespionnage chinois. Selon les spécialistes, les logiciels malveillants développés par des hackers chinois sponsorisés par l’État sont maintenant ressuscités sous une forme actualisée et encore plus dangereuse.

À l’époque, le logiciel malveillant était initialement utilisé par des groupes chinois APT, également appelé IceFog, dont les opérations ont été révélées et détaillées en septembre 2013 dans un rapport de Kaspersky.

De nouvelles versions d’ICEFOG ont été découvertes

Le premier à découvrir la réapparition du logiciel malveillant ICEFOG fut Chi-en Shen, chercheur principal de FireEye. Dans son exposé lors d’une conférence sur la cybersécurité en Pologne, Shen a révélé qu’elle avait découvert une nouvelle version mise à niveau du logiciel malveillant ICEFOG que tout le monde considérait comme morte.

Le logiciel malveillant a été détecté dans d’attaques multiples à partir de 2014 et 2018 dans deux souches nommées ICEFOG-P et ICEFOG-M. Les deux souches d’ICEFOG récemment découvertes sont nettement plus sophistiquées que la version originale. Le logiciel malveillant ICEFOG original été utilisé dans des campagnes de piratage informatique au début des années 2010. Ainsi, pendant toutes ces années où les spécialistes croyaient que le logiciel malveillant était éliminé, les hackers chinois ont, en fait, fait des développements supplémentaires pour renforcer ses capacités.

Ce qui était encore plus surprenant pour Shen, c’est qu’elle avait découvert une version Mac du programme malveillant ICEFOG, qui n’avait jamais été vue auparavant.

Plusieurs hackers chinois connus sous le nom d’APT utilisent maintenant les logiciels malveillants ICEFOG

Il semble que Shen ait fait une dernière découverte concernant le logiciel malveillant ICEFOG. Les nouvelles versions du logiciel malveillant ICEFOG n’ont pas été utilisées dans les attaques par des hackers qui auraient pu être associées au groupe ICEFOG original. Il semble qu’ils aient été repérés lors d’un grand nombre de campagnes de piratage menées par de nombreux groupes d’attaquants.

Shen a affirmé qu’après avoir analysé les opérations menées entre 2011 et 2013, elle avait constaté qu’elles étaient assez cohérentes et avait suggéré un groupe et une utilisation exclusive de logiciel malveillant. Cependant, les nouvelles versions du logiciel malveillant ICEFOG ont été identifiées pour être utilisées par plusieurs groupes après 2013.

Dans ce contexte de découvertes, Shen est arrivé à la conclusion que les nouvelles versions du logiciel malveillant ont été partagées par le groupe ICEFOG original qui l’a utilisé dans les campagnes de piratage à partir de 2013. Les spécialistes de la cybersécurité savent déjà que de nombreux chinois APT peuvent avoir une chaîne d’approvisionnement partagée. Pourtant, Shen a affirmé qu’il était impossible de déterminer comment les échantillons d’ICEFOG avaient été partagés, mais ce n’est pas la première fois que les spécialistes voient des outils partagés entre des groupes APT chinois. Shen a ajouté le modèle de document partagé d’autres logiciels malveillants comme SOGU qui est un outil souvent partagé par les hackers un bon exemple.

Shen a fait des révélations extrêmement préoccupantes concernant les principales cibles du programme malveillant ICEFOG, notamment une société agricole européenne non nommée en 2015 et le gouvernement, les médias et des organisations financières russes et mongoles en 2015. Les autres cibles étaient le gouvernement de plusieurs États soviétiques en 2015, les responsables de Kazach en 2016, une entité anonyme aux Philippines en 2018 et de nombreuses organisations en Turquie et au Kazakhstan en 2018 et 2019.

Les logiciels malveillants ICEFOG étaient principalement utilisés pour le cyberespionnage

Shen a également ajouté que son observation lui a permis de conclure que la plupart des échantillons de logiciels malveillants ICEFOG étaient utilisés pour l’espionnage politique et la collecte de renseignements. D’autres campagnes de piratage informatique ciblaient les télécommunications, l’énergie, les médias, les transports et des secteurs financiers. Cependant, Shen a ajouté que les cas précédents étaient extrêmement rares comparés à ceux visant l’espionnage politique.

Ce qui est en effet intrigant est comment se fait-il que les attaques n’aient pas été détectées et n’aient pas été rapportées avant la découverte par Shen. Elle explique que sa théorie est qu’en raison de son utilisation rare, les logiciels malveillants ICEFOG n’ont même pas été pris en compte par leurs cibles.

Shen a conclu en affirmant qu’elle croit que les logiciels malveillants d’ICEFOG ne sont pas prêts de disparaître après les nombreuses mises à jour qui y ont été apportées au cours des dernières années et a aidé les hackers à effectuer des attaques sans être détectés.