La géopolitique, moteur des cyberattaques par APT en Q2 2018

0
77

Au 2ème trimestre 2018, les chercheurs de Kaspersky Lab ont continué de découvrir des outils, des techniques et des campagnes lancées par des groupes de menaces persistantes avancées (APT).

Certaines n’avaient plus fait parler d’elles depuis plusieurs années. Vous trouverez ci-dessous les principales conclusions de leur travail. Le rapport complet est disponible ici.

ASIE

L’Asie reste l’épicentre de l’activité des APT : des groupes régionaux, comme les coréanophones Lazarus et Scarcruft ont été particulièrement occupés ce trimestre. Les chercheurs ont également découvert un implant baptisé LightNeuron qui a été utilisé par la menace russophone Turla pour viser l’Asie Centrale et le Moyen-Orient.

GÉOPOLITIQUE

Un certain nombre de groupes ont choisi des cibles ou une période en lien avec des incidents géopolitiques. Le plus notable est Olympic Destroyer, qui a fait son retour après l’attaque contre les Jeux Olympiques d’hiver de Pyeongchang en s’attaquant cette fois à des organisations financières en Russie et des laboratoires de prévention des menaces biochimiques en Europe.

En détails :

  • Olympic Destroyer : un certain nombre d’indicateurs suggèrent qu’il pourrait exister un lien entre Olympic Destroyer et la menace russophone Sofacy.
  • Lazarus/BlueNoroff : certains éléments indiquaient que cette APT de haute volée visait des institutions financières en Turquie, dans le cadre d’une campagne de cyber espionnage plus large, ainsi que des casinos en Amérique Latine. Ces opérations suggèrent que ce groupe reste motivé par l’appât du gain, en dépit des discussions de paix avec la Corée du Nord.
  • Scarcruft les chercheurs ont relevé un niveau d’activité important de cette menace, via un malware Android et le lancement d’une opération exploitant un backdoor que les chercheurs ont baptisé POORWEB.
  • The LuckyMouse : cet acteur sinophone, également connu sous le nom d’APT 27, s’était notamment fait connaître en exploitant des fournisseurs de services Internet en Asie dans le cadre d’attaques par waterhole sur des sites web importants. Plus récemment, il s’en est pris activement à des entités gouvernementales kazakhs et mongoles au moment ou lesdits gouvernements se rencontraient en Chine.
  • La campagne VPNFilter, découverte par Cisco Talos et attribuée à Sofacy ou Sandworm par le FBI, a révélé l’incroyable vulnérabilité des équipements réseaux et solutions de stockage domestiques. L’analyse de Kaspersky Lab confirme que des traces de cette campagne ont été trouvées dans pratiquement tous les pays.