Kaspersky dévoile une campagne APT ciblant les entités gouvernementales de la région Asie-Pacifique

0
104

Les chercheurs de Kaspersky ont découvert une campagne persistante compromettant un type spécifique de clé USB protégée, utilisée pour assurer le cryptage et le stockage sécurisé des données. Baptisée « TetrisPhantom », cette campagne d’espionnage cible des entités gouvernementales de la région Asie-Pacifique (APAC), et aucun indice ne permet de recouper ses opérations avec celles d’un autre acteur de la menace. Ces observations et d’autres sont détaillées dans le nouveau rapport trimestriel de Kaspersky sur le paysage des menaces APT.

Tribune – Début 2023, l’équipe Global Research and Analysis de Kaspersky a fait la découverte d’une campagne d’espionnage au long cours menée par un acteur jusqu’alors inconnu. L’attaquant a secrètement espionné et récolté des données sensibles auprès d’entités gouvernementales de la région Asie-Pacifique en exploitant un type particulier de clé USB sécurisée, protégée par un dispositif de chiffrement pour assurer le stockage et le transfert sécurisés des données entre les différents systèmes informatiques. Ces clés USB sécurisées sont utilisées par des organisations gouvernementales dans le monde entier, ce qui implique que d’autres entités pourraient potentiellement être visées par des techniques similaires.

La campagne comprend plusieurs modules malveillants qui permettent aux agents du groupe malveillant de prendre le contrôle de l’appareil de leur victime. Cela leur permet d’exécuter des commandes, de collecter des fichiers et des informations sur les machines compromises et de les transférer sur d’autres machines en utilisant la même clé USB sécurisée ou d’autres clés USB comme supports. En outre, le groupe APT est capable d’exécuter d’autres fichiers malveillants sur les systèmes infectés.

Les chercheurs de Kaspersky n’ont relevé qu’un nombre limité de victimes, soulignant la nature très ciblée des attaques opérées par le groupe.

« Notre enquête révèle le niveau de sophistication élevé des procédés mis en œuvre par TetrisPhantom, qui incluent l’obscurcissement des logiciels basé sur la virtualisation, des communications bas-niveau avec la clé USB à l’aide de commandes SCSI directes, et l’auto-réplication par le biais d’USB sécurisées connectées. Ces opérations ont été menées par un acteur hautement qualifié et ingénieux, qui s’intéresse de près aux activités d’espionnage au sein de réseaux gouvernementaux sensibles et protégés », commente Noushin Shabab, chercheur principal en sécurité au sein de l’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky.

Les chercheurs de Kaspersky n’ont observé aucun chevauchement entre les activités de TetrisPhantom et un acteur APT existant, mais cette campagne d’attaque étant toujours en cours, les experts continuent de surveiller sa progression et s’attendent à l’avenir à observer des attaques plus sophistiquées de leur part.

Pour se protéger des attaques ciblée menée par un acteur de la menace connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Mettez régulièrement à jour votre système d’exploitation, vos applications et votre logiciel antivirus afin de corriger les vulnérabilités connues.

  • Méfiez-vous des courriels, des messages ou des appels vous demandant des informations sensibles. Vérifiez l’identité de l’expéditeur avant de communiquer des informations personnelles ou de cliquer sur des liens suspects.

  • Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI).

  • Améliorez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne.

  • Pour la détection au niveau des terminaux, l’investigation et la réponse rapide aux incidents, mettez en œuvre des solutions EDR.