Et si les autorités elles-mêmes envoyaient du malware?
L’entreprise de sécurité Kaspersky Lab a recensé un incident, où des autorités contraient une cyber-attaque par une contre-attaque de malware. L’ère des conflits APT est-elle ouverte?
Des chercheurs en sécurité de Kaspersky Lab ont observé quelques jours après la disparition du vol MH370 – pour rappel, il s’agit de cet avion qui s’est subitement volatilisé – que le groupe de cyber-espionnage Naikon avait profité de ce mystère pour lancer des attaques de ‘spear-phishing’ (hameçonnage ciblé) sur des centaines d’instances gouvernementales. En soi, cela n’était pas tellement étonnant dans la mesure où ce groupe Naikon est depuis quelque temps déjà très actif dans la zone asiatique.
Ce qui était plus surprenant par contre, c’est qu’une de leurs cibles – une institution publique dont Kaspersky ne souhaite pas révéler le nom – a décidé de contre-attaquer. Elle joua pour ce faire au même jeu que son agresseur et lui expédia un mail accompagné d’une pièce jointe contenant un maliciel (malware). Cette mesure engendra une recherche de la part de Kaspersky Lab, qui découvrit alors l’existence du groupe Hellsing APT.
Obtenir des renseignements
La méthode même de la contre-attaque a révélé que Hellsing voulait identifier le groupe Naikon et obtenir des renseignements à son sujet. Si un destinataire ouvre la pièce jointe nuisible, son système est aussitôt contaminé par une porte dérobée (‘backdoor’) spéciale, capable de télécharger et de charger des fichiers, ainsi que de s’actualiser et de se supprimer elle-même. Selon les observations faites par Kaspersky Lab, quasiment 20 organisations étaient ciblées par Hellsing. L’entreprise a ainsi détecté et bloqué le malware Hellsing en Malaisie, aux Philippines, en Inde, en Indonésie et aux Etats-Unis.
Il est possible que cet incident ouvre la porte à une nouvelle tendance dans la cybercriminalité, à savoir des conflits APT (‘Advanced Persistent Threats’). “Il s’agissait réellement d’une attaque APT contre APT ciblée. Je peux vous assurer que le mail a bien été envoyé par des autorités au départ d’une adresse e-mail .gov”, déclare Costin Raiu, directeur du Global Research and Analysis Team chez Kaspersky Lab.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici