Hacking : une attaque mondiale est en cours

Posté le Sécurité Informatique
Hacking Sharpshooter

Une campagne de hacking mondiale

Une attaque globale de hacking cible actuellement des gouvernements et entreprises de télécoms, défense, ou encore high-tech. Et cette campagne mondiale semble n’être que la première étape d’une opération bien plus vaste de cyber-espionnage.

Surnommée Opération Sharpshooter par les ingénieurs de McAfee, cette campagne n’est active que depuis quelques semaines. Mais elle a déjà touché plus de 85 compagnies dans 24 pays à travers le globe, seulement en octobre et novembre. Son objectif est apparemment de récupérer des informations.

Même si les cibles de ces cyber-attaques sont mondiales, la plupart des victimes se situent aux USA. Et les entreprises touchées ont la plupart du temps un bureau anglophone.

Origines

Le principal objectif des hackers semblent être les départements gouvernementaux et de défense. Ainsi que des entreprises spécialisées dans l’énergie, le nucléaire, les télécommunication ou la finance.

Des chercheurs en cybersécurité se sont également aperçus que les attaques montrent un grand nombre de caractéristiques du Groupe Lazarus. Ce rassemblement de hackers est connu pour travailler pour le compte de la Corée du Nord. Mais ces rapprochements ne suffisent pas à confirmer la suspicion.

La campagne de hacking a commencé le 25 octobre avec une série d’emails Phishing, envoyés comme des mails de recrutement à diverses cibles. Tous les fichiers Word joints contenaient le nom d l’auteur – Richard – et la description de divers postes d’une entreprise. De plus, un macro malveillant était également joint, intégrant un shellcode. Celui-ci injectait ensuite un programme de téléchargement afin d’insérer le malware Sharpshooter au sein de la mémoire. Cela faisait office de « téléchargeur » pour la seconde étape de la campagne : implanter Rising Sun.

Rising Sun

Rising Sun est une backdoor modulaire qui effectue une reconnaissance sur le réseau de sa victime. Ainsi, elle donne aux hackers l’accès à des informations au niveau de la machine. Tels que des documents, noms d’utilisateurs, configuration du réseau, fonctionnalités du système, ou encore des informations sur ce qui est envoyé à un serveur de commande et de contrôle.

De plus, ce malware peut aussi réaliser tout un tas de commandes, ajouter des fichiers supplémentaires ou encore effacer toute la mémoire et l’activité.

L’Opération Sharpshooter est l’exemple type d’une campagne ciblée sophistiquée, utilisée afin d’obtenir des informations pour d’autres acteurs malveillantes. Néanmoins, malgré sa sophistication, cette campagne de hacking dépend d’un certain degré d’ingénierie sociale. Qui peut, grâce à de la vigilance et la communication inter-entreprise, facilement être atténuée.

En outre, en analysant Rising Sun, on remarque qu’il partage son code et la configuration de ses data avec Duuzer. Cette famille de Trojan a été utilisée dans le hack de Sony, dont la Corée du Nord est tenue pour responsable. Mais Rising Sun serait plus une évolution de Duuzer, au vu de son schéma de déchiffrement différent. Si c’est le cas, ce ne serait pa sala première fois que les hackers Nord-Coréens re-utilisent un vieux code pour créer de nouvelles attaques.

Partagez cet article !