La firme de sécurité ESET a découvert un nouveau groupe APT, à savoir des pirates qui ciblent spécifiquement les ministères des affaires étrangères et leurs diplomates.
Si vous pensiez encore que les actes de cyber-espionnage étaient réservés aux films produits à Hollywood, il vous suffit de suivre l’actualité pour vous convaincre du contraire avec récemment encore le piratage du Service Public Fédéral affaires étrangères. Deux années durant, des hackers ont eu accès à ses systèmes. Ce type de piratage est aussi appelé Advanced Persistent Threat (APT): une cyber-attaque ciblant un groupe précis, par laquelle quelqu’un, sans se faire remarquer, reçoit un accès de longue durée à un réseau. Les attaques APT visent surtout des pays et des organisations spécifiques.
Des chercheurs spécialisés d’ESET révèlent cette semaine avoir découvert un nouveau groupe de pirates APT, qui cible tout spécialement les ministères des affaires étrangères, surtout au Moyen-Orient et en Afrique, mais qui a également fait des victimes en Europe. Le groupe répond à l’appellation éloquente BackdoorDiplomacy. Ses attaques débutent en général par l’exploitation d’applis vulnérables exposées à internet via des serveurs web. Ensuite, elles installent une porte dérobée adaptée (‘backdoor), appelée dans ce cas Turian.
Lien avec l’Asie
BackdoorDiplomacy peut détecter des supports amovibles – très probablement des clés USB – et copier leur contenu dans la corbeille du drive primaire. Le logiciel mal intentionné est ainsi capable de dérober des informations système de ses victimes, effectuer des captures d’écran, ainsi que transcrire, déplacer ou supprimer des fichiers existants. ‘Turian est probablement une évolution vers l’étape suivante de Quarian, la porte dérobée observée pour la dernière en 2013, lorsqu’elle fut utilisée contre des cibles diplomatiques en Syrie et aux Etats-Unis’, déclare Jean-Ian Boutin, Head of Threat Research chez ESET. Le protocole de codage réseau de Turian est quasiment identique à celui de Whitebird, une porte dérobée gérée par Calypso, un autre groupe asiatique. Whitebird a été exploitée au sein d’organisations diplomatiques au Kazakhstan et en Kirghizie durant la même période que BackdoorDiplomacy (2017-2020).
Sans citer de nom, ESET connaît des victimes dans des ministères des affaires étrangères de divers pays africains, mais aussi en Europe, au Moyen-Orient et en Asie. Certaines firmes télécoms ont également été touchées et au moins une institution charitable au Moyen-Orient. Ce qui rend BackdoorDiplomacy d’autant plus dangereux, c’est que le groupe opère de manière indépendante de la plate-forme et cible tant les systèmes Windows que Linux. Le groupe recherche surtout des serveurs ayant des ports ‘ouverts’ sur internet, et il abuse de brèches non encore colmatées.
Gelsemium: des actes de cyber-espionnage contre les autorités et d’autres cibles en Asie
Lors de sa conférence ESET World, la firme de sécurité a aussi dévoilé qu’elle effectuait une enquête approfondie sur le groupe de cyber-espionnage Gelsemium et sur la première version – découverte en 2014 – de son principal malware appelé Gelsevirine. Ses victimes se trouvent tant dans l’est de l’Asie qu’au Moyen-Orient et sont entre autres des gouvernements, des organisations religieuses, des fabricants d’électronique et des universités. Jusqu’à présent, le groupe a réussi à rester en grande partie sous le radar. Les chercheurs estiment à présent que Gelsemium est à l’origine de l’attaque lancée contre la chaîne d’approvisionnement de BigNox. Il s’agissait de l’attaque perpétrée contre une chaîne de livraison, mettant en danger le mécanisme d’actualisation de NoxPlayer – un émulateur Android pour PC et Mac et un élément de la gamme de produits de BigNox – utilisé par plus de 150 millions de personnes dans le monde.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici