Archives par mot-clé : Dragonfly

cyberattaque, Entreprise

CommonMagic et PowerMagic voleurs de données

Des chercheurs ont découvert une nouvelle campagne d’espionnage ciblant les agences gouvernementales et les organisations opérant dans les territoires ukrainiens occupés par la Russie.

Qui sont les pirates cachées derrière des cyber attaques visant les entreprises et les agences gouvernementales basées sur les territoires Ukrainiens occupés par la Russie ? Alliés de l’Ukraine ? Espion Chinois ? « Simple » malveillant à la recherche de données à revendre ? Les pirates ont utilisé des souches de logiciels malveillants jusqu’alors inconnues, appelées CommonMagic et PowerMagic, pour dérober des données sur les appareils de leurs cibles.

La campagne a débuté en septembre 2021. Selon des chercheurs locaux, elle continue encore aujourd’hui et cible principalement les régions de Donetsk, Lougansk et de Crimée. Des régions ukrainiennes annexées par la Russie en 2014. Des agences gouvernementales, ainsi que des organisations agricoles et de transport, ont été visées par des courriels piégés. La première pensée est de ce dire qu’étant donné le conflit militaire dans cette région, il est probable que cela fasse partie d’une cyberguerre. Mais qui ? C’est une autre question.

Rien de sophistiqué, mais efficace

Les logiciels malveillants et les techniques utilisées ne sont pas particulièrement sophistiqués. En octobre, des logiciels malveillants avaient déjà été installés sur les machines des victimes, indiquant que certaines attaques avaient réussi. Les pirates ont distribué des logiciels malveillants via des e-mails d’hameçonnage (phishing) contenant un lien vers une archive .zip hébergée sur un serveur Web. Bref, du grand classique. L’archive contenait un document déguisé en décret officiel du gouvernement Russe et un fichier .lnk malveillant qui, une fois ouvert, exécutait le logiciel pirate et infectait l’ordinateur.

Au début de l’attaque, les pirates ont utilisé une porte dérobée basée sur PowerShell nommée PowerMagic. Toutes les victimes de PowerMagic ont également été infectées par CommonMagic, un logiciel malveillant plus complexe et inédit. Les attaquants ont probablement utilisé la porte dérobée PowerMagic pour installer CommonMagic sur les appareils ciblés. Le groupe derrière cette attaque est inconnu, mais ses objectifs sont clairs : voler des données. Une fois le réseau infiltré, les pirates peuvent extraire des documents et faire une sauvegarde des données affichées à l’écran de l’ordinateur de la victime toutes les trois secondes.

Guerre 3.0

Au cours des dernières années, plusieurs virus informatiques ont ciblé la Russie et l’Ukraine, deux pays souvent associés aux cyberattaques. Ces attaques ont été menées par des groupes de cybercriminels, des gouvernements étrangers et même des groupes terroristes.

Depuis des années, les cyber attaques visant l’Ukraine se sont enchaînées. En 2017, un virus informatique appelé NotPetya a infecté des milliers d’ordinateurs en Ukraine avant de se propager à travers le monde. Bien que NotPetya ait été conçu pour ressembler à un ransomware, il a rapidement été découvert que son véritable objectif était de causer des dommages permanents aux systèmes infectés. Le virus a effacé les disques durs des ordinateurs infectés, causant des dommages considérables aux entreprises touchées. Les dommages causés par NotPetya ont été estimés à plusieurs milliards de dollars, faisant de cette attaque l’une des plus coûteuses de l’histoire.

Toujours en 2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

En 2015, un groupe de hackers appelé Sandworm a lancé une attaque contre le réseau électrique ukrainien. Les hackers ont utilisé un virus informatique appelé BlackEnergy pour prendre le contrôle des ordinateurs du réseau électrique, coupant l’électricité dans plusieurs régions du pays. L’attaque a été considérée comme l’une des premières attaques réussies contre une infrastructure critique, et elle a soulevé des inquiétudes quant à la capacité des hackers à perturber les systèmes de contrôle industriels.

En 2014, un groupe de hackers appelé Dragonfly a lancé une série d’attaques contre les sociétés d’énergie en Europe et aux États-Unis. Le groupe a utilisé un virus informatique appelé Energetic Bear pour accéder aux systèmes des sociétés d’énergie, volant des données sensibles et prenant le contrôle de certains systèmes.

2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

Cyber-attaque, Leak, Piratage

Libellule, l’insecte qui s’attaque à Internet

Un commentaire

Une campagne de cyber espionnage qui serait toujours en cours a été révélée par l’éditeur de solution de sécurité informatique Symantec.

D’après l’entreprise américaine, cette attaque informatique vise principalement le secteur de l’énergie. Derrière ces malveillances économiques, un groupe de pirates baptisé Dragonfly (Libellule ; Energetic Bear). L’analyse indique que des opérations de sabotages et d’espionnages ont été orchestrées contre les victimes basées aux États-Unis, Espagne, France, Italie, Allemagne, Turquie et Pologne.

Parmi les objectifs de libellule, les gestionnaires de réseaux d’énergie, de grandes entreprises de production d’électricité, les exploitants de pipelines de pétrole, et les fournisseurs d’équipements industriels de l’industrie de l’énergie. Le groupe de libellule semble être bien doté en ressources, avec une gamme d’outils de logiciels malveillants à sa disposition.

Cette campagne s’inscrit dans la lignée de Stuxnet, qui a été la première grande campagne connue de malware à cibler les systèmes d’ICS. Alors que Stuxnet  ciblé le programme nucléaire iranien, un code malveillant signé par les américains, libellule semble avoir une portée beaucoup plus large d’espionnage et de s’ouvrir des accès permanent aux objectifs qui pourraient être sabotés. En plus de compromettre le logiciel ICS, libellule a utilisé des campagnes de pourriels (spams) ainsi que des outils malveillants. Bref, étonnant que des pirates si professionnels utilisent des vecteurs d’attaques comme le spam. Spam qui, du coup, se contre avec des outils de sécurité informatique que commercialise Symantec. Les pirates utilisent la backdoor Oldrea et sa variante, Karagany (5% des infiltrations). Le groupe Libellule semble agir depuis au moins 2011 et commercialise ses codes malveillants dans le blackmarket.

Des pirates fonctionnaires ?
Marrante, l’analyse de Symantec explique que le désassemblage des codes malveillants a permis de définir que Libellule travaille la plupart du temps entre le lundi et le vendredi, avec une activité principalement concentrée dans une période de neuf heures qui correspondrait entre 9h et 18h, sur quatre 4 fuseau horaire. Bref, des Chinois qui ont un petit parfum de pays de l’Est !