Menu

Des hackers chinois ont mené une attaque de point d’eau contre un état

0 Comment

Des chercheurs en cybersécurité ont découvert une campagne d’espionnage qui ciblait un centre de données national d’un pays d’Asie centrale non identifié pour pouvoir mener des attaques de point d’eau.

Les chercheurs pensent que la campagne est secrètement active depuis l’automne 2017 mais n’a été repérée qu’en mars par des chercheurs en sécurité de chez Kaspersky Labs, qui ont attribué ces attaques à un groupe d’acteurs de menaces sinophone appelé LuckyMouse.

LuckyMouse, aussi connu sous les noms d’Iron Tiger, EmissaryPanda, APT 27 et Threat Group-3390, est un même groupe de pirates chinois qui ciblent des pays asiatiques avec des malwares visant l’extraction de Bitcoin depuis le début de l’année.

Le groupe est actif depuis au moins 2010 et est derrière de nombreuses campagnes d’attaques précédentes, des campagnes qui ont menées au vol d’impressionnantes quantités de données prises aux dirigeants et aux contractuels liés au domaine de la défense américaine.

Cette fois-ci, le groupe a choisi comme cible un centre de données national d’un pays non identifié en Asie Centrale dans une tentative d’obtenir « l’accès à une grande quantité de ressources gouvernementales en un seul coup ».

Selon les chercheurs, le groupe a injecté un code JavaScript malveillant dans les sites officiels du gouvernement associés au centre de données pour pouvoir mener des attaques de point d’eau.

Bien que LuckyMouse soit connu pour avoir utilisé par le passé une faille bien connue de Microsoft Office (CVE-2017-11882) pour détourner de manière malveillante des documents Office, les chercheurs n’ont pas de preuves que cette technique ait été utilisée dans cette attaque particulière contre le centre de données.

Le vecteur d’attaque initial utilisé ici n’est pas défini, mais les chercheurs pensent que LuckyMouse a potentiellement mené des attaques de point d’eau ou de phishing pour compromettre des comptes appartenant à des employés du centre de données du pays.

L’attaque contre le centre a finalement infecté le système cible avec un malware appelé HyperBro, un outil d’administration à distance (RAT) déployé pour maintenir une présence sur le système cible pour administrer à distance.

« Il y avait des traces d’HyperBro dans le centre de données infecté à la mi-novembre 2017. Peu après, différents utilisateurs dans le pays commençaient à être redirigés vers le domaine malveillant update.iaacstudio[.]com, résultat de l’attaque de point d’eau subie par les sites web gouvernementaux », déclarent les chercheurs dans un post de blog publié aujourd’hui.

« Ces évènements suggèrent que le centre de données infecté avec HyperBro et la campagne d’attaque de point d’eau sont connectés. »

A la suite de cette attaque, les sites web gouvernementaux compromis redirigeaient les visiteurs du pays soit vers une suite de pentest BeEF qui se concentre sur le navigateur web ou l’environnement de reconnaissance ScanBox, qui procède aux mêmes opérations qu’un enregistreur de frappe.

Le serveur principal de commande et de contrôle utilisé dans cette attaque est hébergé par une adresse IP qui correspond à un fournisseur d’accès ukrainien, précisément à un routeur MikroTik fonctionnant avec une version du firmware sortie en mars 2016.

Les chercheurs pensent que le routeur MikroTik a été spécifiquement piraté pour la campagne pour pouvoir exécuter les requêtes HTTP du malware HyperBro sans se faire repérer.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *