Le groupe APT Lazarus se tourne à présent vers l’industrie de la défense

0

Les chercheurs de Kaspersky ont identifié une nouvelle campagne, jusqu’alors inconnue, menée par Lazarus, un acteur APT très prolifique. Actif depuis au moins 2009, Lazarus est lié à un certain nombre de campagnes, notamment à l’encontre du marché des crypto-monnaies. Kaspersky révèle que depuis le début de l’année 2020, le groupe cible l’industrie de la défense, via l’utilisation d’une porte dérobée appelée « ThreatNeedle ». ThreatNeedle recueille les informations sensibles de l’entreprise qu’elle infecte grâce à sa capacité à se déplacer à travers des réseaux distincts.

Tribune – Le groupe Lazarus compte parmi les acteurs les plus actifs au monde en matière de menace cyber. En activité depuis au moins 2009, il est impliqué dans des campagnes de cyber espionnage à grande échelle, mais également dans des attaques d’envergure par ransomwares ou encore contre le marché des crypto-monnaies. Si Lazarus ciblait plutôt des institutions financières, il semble que depuis le début de l’année 2020, le groupe se tourne aussi vers l’industrie de la défense. 

Les chercheurs de Kaspersky ont pris connaissance de cette nouvelle orientation dans le cadre d’une gestion d’incident réalisée pour une entreprise victime d’une attaque récente. En intervenant, l’équipe de Kaspersky a découvert que l’organisation touchée avait été victime d’une porte dérobée (backdoor), un type de logiciel malveillant qui permet de prendre le contrôle, à distance, d’un appareil infecté. Baptisée ThreatNeedle, cette porte dérobée permet aux attaquants d’avoir accès aux différents réseaux de l’entreprise et d’extraire les informations confidentielles. Depuis cette découverte, Kaspersky a identifié d’autres entreprises touchées par ThreatNeedle, lesquelles sont implantées dans plus d’une douzaine de pays.

La particularité de ThreatNeedle : accéder aux réseaux distincts d’une entreprise malgré leur segmentation

ThreatNeedle infecte l’entreprise par le biais de spear phishing, autrement dit par une attaque phishing très personnalisée. En effet, les cibles reçoivent des mails contenant un document Word malveillant ou un lien vers une pièce-jointe hébergée sur les serveurs de l’entreprise visée. La plupart des mails reçus contiennent des informations prétendument urgentes liées à la pandémie de Covid et se présentent comme émanant d’une organisation médicale reconnue. Une fois installé, ThreatNeedle permet de prendre le contrôle total des appareils de l’entreprise, offrant par exemple aux pirates la possibilité de manipuler des fichiers ou d’exécuter des commandes à distance.

L’un des points les plus remarquables de cette campagne se trouve dans le fait que Lazarus réussit à dérober des données à la fois via le réseau informatique interne de l’entreprise, regroupant les postes de travail avec accès Internet, mais aussi via le réseau fermé de celle-ci, qui sécurise les processus confidentiels de production. Or, en temps normal, pour assurer la protection des données, aucune information n’est censée transiter entre ces deux réseaux. Seuls les administrateurs IT peuvent s’y connecter pour assurer la maintenance des systèmes. Mais Lazarus réussit ici à prendre le contrôle des postes de travail des administrateurs, lui permettant de mettre en place une passerelle malveillante pour attaquer le réseau restreint et y voler des données confidentielles. 

Le logiciel malveillant ThreatNeedle utilisé dans cette nouvelle campagne fait partie d’une famille de malwares connue sous le nom de Manuscrypt, qui appartient au groupe Lazarus et qui a déjà été utilisée par le passé pour attaquer des entreprises de crypto-monnaies.

« Lazarus était probablement l’acteur cyber le plus actif de l’année 2020, et il semble que cela reste le cas encore aujourd’hui. En janvier 2021 déjà, l’équipe d’analyse des menaces de Google a signalé que Lazarus avait utilisé la porte dérobée ThreatNeedle pour cibler des chercheurs en sécurité. Nous nous attendons à rencontrer davantage ThreatNeedle à l’avenir et nous continuons à analyser son évolution », explique Seongsu Park, chercheur senior en sécurité au sein de l’équipe de recherche GReAT (Global Research & Analysis Team) de Kaspersky.

« Lazarus n’est pas seulement très prolifique, il est aussi très sophistiqué. Non seulement le groupe réussit à contourner la segmentation des réseaux, mais il est capable d’effectuer des recherches préalables approfondies lui permettant de créer des mails de spear phishing très personnalisés et convaincants. Il excelle en outre à construire des outils personnalisés capables d’extraire des informations volées depuis un serveur distant. Sachant que le travail à distance est toujours d’actualité dans les entreprises, les industries sont encore plus vulnérables. Il devient ainsi plus que nécessaire que celles-ci prennent des mesures de sécurité supplémentaires pour se protéger contre ce type d’attaques avancées », commente Vyacheslav Kopeytsev, expert en sécurité chez Kaspersky pour le groupe ICS CERT.

Pour en savoir plus sur la campagne ThreatNeedle : Kaspersky ICS CERT – Lazarus targets defense industry with ThreatNeedle

Pour protéger son organisation contre des attaques de type ThreatNeedle, les experts de Kaspersky recommandent : 

  • De dispenser à ses collaborateurs une formation de base en matière de cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou par des techniques d’ingénierie sociale.
  • Si une entreprise possède une technologie d’exploitation (Operational Technology) ou une infrastructure critique, de s’assurer que celles-ci sont séparées du réseau de l’entreprise, et qu’il ne puisse pas y avoir de connexions non autorisées.
  • De veiller à ce que les collaborateurs soient informés de la politique de cybersécurité de l’entreprise et qu’ils en suivent les règles.
  • De fournir à son équipe SOC l’accès à des informations de Threat Intelligence (TI). A titre d’exemple, Kaspersky Threat Intelligence Portal constitue un point d’accès unique pour l’IT de l’entreprise, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
  • De déployer une solution de sécurité de niveau entreprise capable de détecter les menaces avancées au niveau du réseau à un stade précoce.
  • De mettre en place une solution dédiée aux nœuds et réseaux industriels, qui permet la surveillance, l’analyse et la détection des menaces au niveau du réseau OT.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.