Opération Ghoul : Une nouvelle menace cible les entreprises industrielles

0
113

L’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a découvert une nouvelle vague d’attaques ciblées contre des entreprises industrielles et d’ingénierie dans de nombreux pays à travers le monde.

Au moyen d’e-mails de spear-phishing et d’un malware reposant sur un kit de spyware commercialisé par des pirates informatiques, des cybercriminels cherchent à s’approprier de précieuses données professionnelles stockées sur le réseau de leurs victimes. Au total, ce sont plus de 130 entreprises d’une trentaine de pays, notamment l’Espagne, le Pakistan, les Emirats Arabes Unis, l’Inde, l’Egypte, le Royaume-Uni, l’Allemagne ou l’Arabie saoudite, qui ont été attaquées avec succès par ce groupe. La France fait également partie des pays ciblés.

En juin 2016, les chercheurs de Kaspersky Lab ont repéré une vague d’e-mails de spear-phishing accompagnés de pièces jointes malveillantes et adressés pour la plupart à des cadres moyens ou supérieurs au sein de nombreuses entreprises. Prétendant provenir d’une banque aux Emirats Arabes Unis, ces messages se présentaient comme un avis de paiement auquel était joint un document SWIFT (en réalité une archive contenant un malware).

ghoul

Des investigations plus approfondies menées par les chercheurs de Kaspersky Lab ont révélé que cette campagne de spear-phishing était très vraisemblablement l’œuvre d’un groupe de cybercriminels dont ils étaient sur la piste depuis mars 2015. Les attaques de juin paraissent constituer l’opération la plus récente lancée par ce groupe. Le malware contenu dans la pièce jointe est dérivé du spyware HawkEye, ouvertement en vente sur le Darkweb, et offre divers outils aux auteurs d’attaques. Une fois installé, il collecte des données dignes d’intérêt sur le PC de la victime :

  • Frappes clavier
  • Contenu du presse-papier
  • Identifiants de serveur FTP
  • Données de comptes des navigateurs
  • Données de comptes de clients de messagerie instantanée (Paltalk, Google talk, AIM…)
  • Données de comptes des clients e-mail (Outlook, Windows Live Mail…)
  • Informations sur les applications installées (Microsoft Office)

Ces données sont ensuite transmises aux serveurs de commande et de contrôle (C&C) des cybercriminels. D’après les informations reçues du sinkhole de certains serveurs C&C, la majorité des victimes sont des entreprises des secteurs industriels et techniques, mais aussi des transports, de l’industrie pharmaceutique, de la fabrication, du commerce, de l’éducation, etc.

Ces entreprises détiennent de précieuses informations susceptibles d’être revendues au marché noir, le gain financier étant la principale motivation de ceux qui se cachent derrière l’opération Ghoul. « Opération Ghoul » n’est que l’une des multiples campagnes supposément pilotées par un seul et même groupe, lequel est encore en activité.

Dans le folklore ancien, une goule – en anglais “Ghoul” – est un mauvais esprit qui se nourrit de chair humaine et pourchasse les enfants. Désignant à l’origine un démon en Mésopotamie, le terme est parfois employé aujourd’hui pour caractériser un individu avide ou bassement matérialiste. Cette description correspond précisément au groupe qui se cache derrière l’opération Ghoul. Sa principale motivation est le gain financier tiré soit de la revente de propriété intellectuelle et d’informations professionnelles volées, soit des attaques lancées sur les comptes bancaires de ses victimes. A la différence des acteurs étatiques, qui choisissent soigneusement leurs cibles, ce groupe et d’autres du même type peuvent s’attaquer à toute entreprise. Même s’ils se servent d’outils malveillants plutôt simples, ils se montrent très efficaces dans leurs attaques. C’est pourquoi les entreprises qui n’y sont pas préparées risquent d’en pâtir sérieusement“, commente Mohammad Amin Hasbini, expert en sécurité chez Kaspersky Lab.

Afin de protéger votre entreprise contre l’opération Ghoul et d’autres menaces similaires, les chercheurs de Kaspersky Lab vous recommandent les mesures suivantes :

  • Formez votre personnel pour lui permettre de reconnaître un e-mail de spear-phishing ou un lien de phishing.
  • Faites appel à une solution de sécurité éprouvée, conçue pour les entreprises, associée à des solutions de protection contre les attaques ciblées, à même d’intercepter celles-ci en analysant les anomalies sur le réseau.
  • Donnez à votre personnel de sécurité accès aux plus récentes données de veille sur les menaces, afin de le doter de précieux outils pour la prévention et la découverte des attaques ciblées, tels que les indicateurs d’infection (IoC) et les règles YARA.

 

Source : Kaspersky Lab / SecureList