Archives quotidiennes :

backdoor, Cybersécurité

Kimsuky, le code malveillant made un Corée du Nord

Les États-Unis et la Corée du Sud avertissent sur les méthodes d’espionnage du groupe de piratage nord-coréen Kimsuky, alias Thallium.

Dans un récent avertissement conjoint, les agences de renseignement des États-Unis et de la Corée du Sud ont décrit les méthodes d’espionnage employées par Kimsuky, un groupe de piratage nord-coréen notoire. Ce groupe cible principalement les groupes de réflexion, les universités et les médias dans le but de recueillir des renseignements. Selon l’avis publié jeudi, les pirates de Kimsuky utilisent des tactiques d’usurpation d’identité, se faisant passer pour des sources fiables afin de gagner la confiance de leurs cibles et d’obtenir des informations sur les événements géopolitiques, les stratégies de politique étrangère et les efforts diplomatiques des pays considérés comme une menace pour le régime nord-coréen.

Ces informations leur permettent également de créer des e-mails de phishing plus crédibles et plus percutants.

Il convient de noter que ce n’est pas la première fois que les États-Unis et leurs alliés mettent en garde contre les activités de Kimsuky, connu également sous les noms de TA406 et Thallium. Le groupe est actif depuis 2012 et cible principalement les diplomates, les organisations non gouvernementales, les groupes de réflexion et les experts en questions liées à la péninsule coréenne.

Kimsuky est contrôlé par le Bureau général de reconnaissance

Les agences de renseignement et les chercheurs en cybersécurité affirment que Kimsuky est contrôlé par le Bureau général de reconnaissance (RGB), l’organisation de renseignement militaire nord-coréenne, qui a été sanctionné par le Conseil de sécurité des Nations unies.

En réponse aux récentes activités de la Corée du Nord, la Corée du Sud a imposé de nouvelles sanctions aux membres présumés de Kimsuky, les accusant d’être impliqués dans le récent échec de lancement d’un satellite espion par la Corée du Nord. Selon le ministère sud-coréen, Kimsuky aurait participé, directement ou indirectement, au développement de satellites nord-coréens en volant des technologies avancées liées au développement d’armes, aux satellites et à l’espace.

La Corée du Nord a rejeté les critiques émanant des États-Unis et d’autres pays concernant son programme spatial, affirmant son droit souverain à l’exploration spatiale.

Les pirates de Kimsuky utilisent souvent des attaques de harponnage pour obtenir un premier accès à leurs cibles. Ils se font passer pour de vrais journalistes, universitaires ou chercheurs de groupes de réflexion ayant des liens crédibles avec les cercles politiques nord-coréens. Leur objectif est de s’introduire illégalement dans les documents, les recherches et les communications privées de leurs victimes.

Les renseignements obtenus grâce à ces opérations seraient d’une importance capitale pour la Corée du Nord

Les campagnes d’usurpation d’identité, telles que celles menées par Kimsuk y, sont dangereuses car certaines cibles peuvent sous-estimer la menace posée par ces attaques. Soit elles ne considèrent pas leurs recherches et leurs communications comme sensibles, soit elles ne sont pas conscientes de la manière dont ces efforts alimentent la stratégie plus large du régime nord-coréen en matière de cyberespionnage, a souligné l’avis.

Les opérations de harponnage de Kimsuky commencent généralement par une recherche et une préparation approfondies. Les pirates utilisent des informations disponibles publiquement pour identifier des cibles potentielles, puis adaptent leurs personnages en ligne afin de paraître plus réalistes et attrayants pour leurs victimes. Ils créent également des adresses e-mail qui ressemblent à celles de personnes réelles ou à des services Internet et sites de médias courants.

Les agences de renseignement qui ont publié le rapport estiment que la sensibilisation accrue à de telles campagnes et une connaissance de base en matière de cybersécurité pourraient réduire l’efficacité des opérations de harponnage menées par Kimsuky.

Les États-Unis encouragent les victimes à signaler les activités suspectes, y compris celles liées aux présumés pirates nord-coréens. Dans ce contexte, le programme de récompenses pour la justice du Département d’État peut accorder une récompense pouvant atteindre 5 millions de dollars en échange d’informations pertinentes.

La menace persistante posée par les activités de piratage d’État de Kimsuky souligne l’importance de la coopération internationale en matière de cybersécurité et de la vigilance continue des gouvernements, des institutions académiques et des médias. Alors que les groupes de piratage étatiques continuent d’évoluer et de perfectionner leurs techniques, il est essentiel de renforcer les mesures de protection et de sensibilisation pour faire face à cette menace croissante dans le cyberespace.

Kimsuky alias TA406 / Thallium

Ce groupe nord-coréen de menaces persistantes avancées (APT), est aussi connu sous le nom de TA406. En mars 2023 une nouvelle campagne de spearphishing ciblant des experts de la péninsule coréenne, selon les avertissements émis par les agences gouvernementales allemandes et sud-coréennes. La campagne utilise deux méthodes d’attaque : l’infection des téléphones Android via une application malveillante sur Google Play et l’utilisation d’une extension malveillante du navigateur web Chromium. A l’époque, l’avis conjoint publié par l’Agence allemande de protection constitutionnelle et le Service national de renseignement de la République de Corée décrivait une campagne très ciblée axée sur des victimes connues. Les agences de renseignement sud-coréennes estiment que cette attaque visait principalement les experts de la péninsule coréenne et de la Corée du Nord. Cependant, étant donné que les techniques utilisées peuvent être universellement appliquées, elles pouvaient également être utilisées par des groupes de réflexion en affaires étrangères et en sécurité du monde entier, ainsi que par des individus non spécifiés.

Comme lors de précédentes campagnes, Kimsuky utilise des attaques de spearphishing pour obtenir un accès initial en se faisant passer pour des administrateurs de portails et des connaissances. Dans certains cas, les e-mails incitent à l’installation d’une extension malveillante sur les navigateurs basés sur Chromium, qui est automatiquement activée. Lorsque les victimes ouvrent Gmail, le programme vole leurs e-mails, qui sont envoyés à un serveur appartenant aux attaquants.

Dans une autre attaque, les acteurs de Kimsuky ajoutaient une application malveillante à la console Google Play pour des « tests internes » et donnaient la permission à une personne ciblée d’y accéder. Après avoir obtenu les identifiants de connexion lors d’une attaque de spearphishing, ils téléchargaient l’application via le compte de la victime, qui est ensuite synchronisée sur leur smartphone Android. Selon l’avis, les acteurs ont volé à la fois des e-mails et des données stockées dans le cloud.

Une alerte d’octobre 2020 de l’Agence américaine de cybersécurité et d’infrastructure décrivait déjà Kimsuky comme étant « probablement chargé par le régime nord-coréen d’une mission mondiale de collecte de renseignements ». Dans certains cas, les pirates se faisaient passer pour des journalistes sud-coréens pour accéder à leurs cibles.

Cybersécurité, Sécurité, Smartphone

La Russie veut 2 millions de téléphones dotés d’un système d’exploitation Aurora local à l’usage des fonctionnaires

Le géant russe des télécommunications, Rostelecom, a annoncé son projet de fournir aux responsables gouvernementaux russes des téléphones portables équipés du système d’exploitation Aurora, une alternative nationale aux logiciels occidentaux.

Selon Kirill Menchov, vice-président senior de Rostelecom, le gouvernement russe est en pourparlers avec la société pour l’acquisition potentielle de jusqu’à 2 millions d’appareils mobiles fonctionnant sur le système d’exploitation Aurora au cours des trois prochaines années. Cette annonce intervient le même jour où le Service fédéral de sécurité (FSB) russe a accusé les services de renseignement américains d’avoir piraté « des milliers de téléphones Apple » dans le but d’espionner des diplomates russes.

Depuis longtemps, la Russie accuse les États-Unis de mener une « surveillance mondiale« , tout comme les Américains accusent la Russie de faire de même avec un espionnage étatique à peine voilé. Selon les médias russes, en mars dernier, l’administration présidentielle russe a demandé à ses employés de remplacer leurs iPhones par des smartphones d’autres marques fonctionnant sur un système d’exploitation différent.

Une histoire de gros sous !

Le Kremlin aurait également annoncé à cette époque qu’il achèterait de nouveaux téléphones sécurisés pour ses employés afin de faciliter la transition loin des technologies américaines. L’année dernière, le gouvernement russe avait également recommandé à ses employés de cesser d’utiliser des services étrangers tels que Zoom et WhatsApp pour les communications officielles, les incitant plutôt à se tourner vers des plates-formes nationales telles que VK pour la messagerie et TrueConf pour la visioconférence.

Dans un communiqué, le FSB a affirmé qu’Apple ne protégeait pas la confidentialité des données des utilisateurs et coopérait avec les services de renseignement américains pour espionner les Russes, une accusation démentie par Apple.

Le système d’exploitation russe Aurora, basé sur Linux, a été développé par Rostelecom en 2016, principalement pour une utilisation commerciale et gouvernementale. En 2020, le président russe Vladimir Poutine a demandé son extension aux établissements de santé et d’éducation.

Selon le site Web d’Aurora, ce système d’exploitation donne aux utilisateurs un contrôle total sur le traitement des données et se conforme aux directives de sécurité du gouvernement russe.

Les efforts de la Russie pour promouvoir sa technologie nationale reflètent également l’impact des sanctions imposées à Moscou en raison de la guerre en Ukraine, qui ont entraîné un exode massif des entreprises technologiques du pays.

« La Russie a besoin de son propre écosystème mobile, car les sanctions peuvent affecter tous les développements occidentaux« , a déclaré Menshov aux médias russes l’année dernière. « Les systèmes d’exploitation américains ont déjà restreint l’accès aux applications mobiles russes critiques, désactivé la possibilité d’effectuer des paiements avec des cartes bancaires russes et interrompu la monétisation.« 

Cependant, Aurora « est complètement indépendante de toute influence étrangère et est prête à évoluer« , a-t-il ajouté.

Selon Rostelecom, le système Aurora est actuellement utilisé par le gouvernement russe ainsi que par diverses entreprises liées à l’État, telles que le service postal national, la compagnie ferroviaire publique et des sociétés énergétiques.

Depuis son lancement en 2016, plus de 500 000 appareils fonctionnant sous le système Aurora ont été produits en Russie, selon Menchov. Le coût de développement d’Aurora devrait atteindre environ 6 milliards de dollars d’ici 2030.

Les initiatives visant à promouvoir la technologie nationale en Russie reflètent la volonté du pays de réduire sa dépendance aux produits et services occidentaux, en particulier après les sanctions imposées en raison du conflit en Ukraine. Les autorités russes sont de plus en plus préoccupées par la sécurité des données et la confidentialité des communications, et cherchent à développer des solutions domestiques pour garantir leur souveraineté numérique.

Alors que le gouvernement russe cherche à renforcer l’utilisation du système d’exploitation Aurora, cette décision pourrait avoir des conséquences sur l’industrie des télécommunications et de la technologie en Russie, ainsi que sur les relations avec les sociétés étrangères. Il reste à voir comment cette transition vers un écosystème mobile national se déroulera et quels seront les défis et les opportunités qui en découleront.

backdoor, Cybersécurité

32 modules complémentaires malveillants frappent 75 millions d’appareils depuis le Chrome Web Store

Google a supprimé 32 extensions malveillantes du Chrome Web Store qui usurpaient les résultats de recherche et montraient des publicités intrusives aux utilisateurs. Le nombre total de téléchargements de ces addons est de 75 millions.

Pour confondre les gens, les auteurs des extensions Chrome leur ont ajouté des fonctionnalités légitimes. Dans le même temps, la charge malveillante se cachait dans le code obscurci.

Palant, un chercheur en cybersécurité, a étudié un addon appelé PDF Toolbox (deux millions de téléchargements depuis la boutique officielle) et est arrivé à la conclusion qu’il contenait du code déguisé en wrapper d’API d’extension légitime.

Comme Palant l’a expliqué , le code malveillant a permis au domaine serasearchtop[.]com d’injecter du code JavaScript arbitraire dans n’importe quel site visité par l’utilisateur cible.

En d’autres termes, toute une gamme d’actions était ouverte aux attaquants : de l’injection de publicité dans les pages Web au vol d’informations confidentielles.

Palant a précisé que le but de cet add-on (PDF Toolbox) restait un mystère pour lui, puisqu’il était incapable d’attendre une activité malveillante de sa part.

Néanmoins, l’expert a remarqué que l’extension a commencé à fonctionner 24 heures après l’installation, ce qui indique indirectement une fonctionnalité suspecte.

Des dizaines de millions de téléchargements !

Il y a quelques jours, Palant a publié un nouveau post indiquant qu’il avait pu identifier le même code dans 18 autres extensions Chrome avec un total de 55 millions de téléchargements.

Parmi eux se trouvaient : Autoskip pour Youtube – 9 millions d’utilisateurs actifs ; Soundboost – 6,9 millions d’utilisateurs actifs ; Bloc Crystal Ad – 6,8 millions d’utilisateurs actifs ; VPN dynamique – 5,6 millions d’utilisateurs actifs ; Clipboard Helper – 3,5 millions d’utilisateurs actifs ; Maxi Refresher – 3,5 millions d’utilisateurs actifs.

Au moment de la rédaction du message de Palant, tous les modules complémentaires mentionnés sont distribués gratuitement via le Chrome Web Store officiel.

Après un certain temps, le spécialiste a également identifié deux autres variantes de code suspect : l’une était déguisée en Mozilla WebExtension API Polyfill, l’autre était la bibliothèque Day.js.

Les deux codes ont implémenté le même mécanisme d’injection de code JavaScript, où le domaine serasearchtop[.]com a été utilisé.

Un certain nombre d’utilisateurs de ces extensions se sont plaints de redirections et de piratage de recherche. La société tchèque d’antivirus Avast a également signalé la découverte de modules complémentaires malveillants, avec un total de 75 millions de téléchargements. Selon le rapport des experts , ces extensions ont également intercepté et modifié les résultats de recherche.

backdoor, Cybersécurité

L’outil « Terminator » dévoilé : une menace sournoise pour les antivirus ?

Un programme universel prétendument « légal » cache une attaque pirate de type BYOVD et cible les systèmes de sécurité. Il est vendu 300 $.

Sur le forum Ramp, une plate-forme spécialisée dans la malveillance numérique, une découverte inquiétante a été faite : l’outil « Terminator » promu par un individu se faisant appeler Spyboy, se présente comme une solution universelle et « légale » pour désactiver n’importe quel antivirus ou solution EDR. Cependant, il a été révélé que ce programme miracle dissimule une attaque BYOVD (Bring Your Own Vulnerable Driver), mettant en évidence une faille de sécurité présente dans le pilote zam64.sys de Zemana.

Cette vulnérabilité permet l’exécution de commandes en mode kernel, qui sont utilisées pour arrêter les processus des antivirus.

L’auteur de cette attaque sournoise a pris soin d’éviter toute responsabilité légale en ne vendant pas séparément le logiciel pour certaines solutions EDR, telles que Sophos et CrowdStrike. De plus, un avertissement préalable interdit explicitement l’utilisation de rançongiciels et de logiciels de blocage, exonérant ainsi l’auteur de toute responsabilité. C’est du moins ce qu’il pense !

Terminator ne coute que 300 $

L’outil « Terminator » propose 24 plates-formes différentes, et son prix est étonnamment abordable : 300 dollars chacune ou 3 000 dollars pour le package complet. Cette tarification agressive pourrait potentiellement attirer l’attention de cybercriminels mal intentionnés en quête d’un moyen efficace de contourner les systèmes de sécurité.

Cependant, il est important de noter que pour lancer cette attaque, l’utilisateur malveillant doit disposer de privilèges d’administrateur sur l’ordinateur cible. De plus, il doit réussir à tromper la victime afin qu’elle autorise la demande de contrôle de compte d’utilisateur (UAC). Ces conditions rendent l’attaque plus difficile à exécuter, mais pas impossible pour les cybercriminels expérimentés.

Dans un article publié sur Reddit, l’expert a déclaré que « Terminator » se contente de détourner un pilote légitime et signé, zamguard64.sys ou zam64.sys, au niveau du noyau. Ce pilote est ensuite copié dans le répertoire C:\Windows\System32\ avec un nom aléatoire de 4 à 10 caractères. Une fois chargé avec les droits du noyau, le pilote modifié par « Terminator » est utilisé pour arrêter les processus antivirus au niveau de l’utilisateur.

L’ampleur de la menace posée par « Terminator » est préoccupante, d’autant plus que seuls quelques moteurs antivirus ont été capables de détecter cette menace lorsqu’elle a été soumise à l’analyse de VirusTotal.

Pour contrer cette attaque, des experts en sécurité recommandent l’utilisation de règles YARA et Sigma pour détecter le pilote vulnérable utilisé par « Terminator ». Les règles YARA et Sigma fournies par la communauté de la cybersécurité peuvent être consultées et utilisées pour renforcer la détection de cette menace. Elles sont disponibles sur les liens suivants :

YARA Rules : Lien vers les règles YARA. Sigma Rules : Lien vers les règles Sigma et Lien vers les noms des pilotes vulnérables.

La découverte de cet outil sur un forum de hackers russophones a suscité une inquiétude accrue au sein de la communauté de la cybersécurité. Bien que des entreprises comme CrowdStrike aient rapidement déclaré qu’il s’agissait simplement d’une autre implémentation du concept BYOVD, il est indéniable que « Terminator » représente une menace potentielle pour les systèmes de sécurité.

Les utilisateurs doivent rester vigilants et prendre des mesures de précaution pour se protéger contre de telles attaques. Il est essentiel de maintenir les systèmes d’exploitation et les logiciels de sécurité à jour, d’utiliser des mots de passe forts et de ne pas autoriser des demandes UAC douteuses. De plus, il est recommandé d’adopter une approche multicouche en matière de sécurité, en combinant des solutions antivirus, EDR et XDR pour une meilleure protection contre les menaces.