Opération “Harvest” : une campagne d’exfiltration de données qui s’étend sur plusieurs années

0

Aujourd’hui, l’équipe Advanced Threat Research (ATR) de McAfee Entreprise a publié son rapport sur l’opération “Harvest”, une campagne d’exfiltration de données au cours de laquelle un hacker a maintenu un accès pendant plusieurs années pour capturer des données réseau. En travaillant avec l’équipe Professional Services IR sur un cas qui a débuté comme un incident de logiciel malveillant, ils ont découvert que l’attaque s’est finalement avérée être une cyber-attaque à long terme liée à une cyber-offensive d’un État-nation.

Du point de vue du cyber-espionnage, l’équipe ATR fournit une étude approfondie de l’opération à long terme qui permet d’établir les conclusions sur l’entrée, l’affiliation et le motif par rapport au modèle Entreprise MITRE ATT&CK. La télémétrie confirme les conclusions suivantes :

L’entrée : les enquêtes approfondies ont identifié que l’acteur a établi un accès initial en compromettant le serveur web de la victime qui contenait un logiciel pour maintenir la présence et le stockage d’outils utilisés pour recueillir des informations sur le réseau de la victime et le mouvement latéral/exécution de fichiers.

L’affiliation : les hackers ont eu recours à des techniques très souvent observées dans ce type d’attaque mais ont également utilisé de nouveaux backdoors distinctifs ou des variantes de familles de logiciels malveillants existantes, presque identiques aux méthodes attribuées à la famille de logiciels malveillants Winnti entre le mode de fonctionnement de la fonction de chiffrement unique dans le backdoor personnalisé et le code utilisé dans la DLL.

Le motif : l’analyse suggère que le hacker était intéressé par le vol de renseignements exclusifs pouvant être utilisés à des fins militaires ou de propriété intellectuelle/fabrication.

L’équipe McAfee Entreprise affirme que cette opération a été exécutée par un acteur APT expérimenté dont les objectifs à long terme sont la persistance dans les réseaux de leurs victimes et l’acquisition de renseignements nécessaires pour prendre des décisions politiques/stratégiques ou de propriété intellectuelle/fabrication.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.