Certains articles de veille peuvent faire l'objet de traduction automatique.
Un début de janvier Le matin, le chercheur en sécurité Zuk Avraham a reçu un message direct non scénarisé à l’improviste sur Twitter : « Salut ». C’était de la part d’une personne nommée Zhang Guo. Le message court et non sollicité n’était pas trop inhabituel ; en tant que fondateur de la société de surveillance des menaces ZecOps et de la société d’antivirus Zimperium, Avraham reçoit beaucoup de DM au hasard.
Zhang a affirmé être un développeur web et un chasseur de bugs dans sa biographie sur Twitter. Son profil montrait qu’il avait créé son compte en juin dernier et qu’il avait 690 adeptes, ce qui est peut-être un signe que le compte était crédible. Avraham lui a répondu par un simple bonjour plus tard dans la soirée, et Zhang lui a répondu immédiatement : « Merci pour votre réponse. J’ai quelques questions ? » Il a ensuite exprimé son intérêt pour les vulnérabilités de Windows et de Chrome et a demandé à Avraham s’il était lui-même un chercheur en vulnérabilités. C’est là qu’Avraham a laissé la conversation s’engager. « Je n’ai pas répondu – je suppose qu’être occupé m’a sauvé ici », a-t-il dit à WIRED.
Avraham n’est pas le seul à avoir eu ce genre de conversation avec le compte Twitter « Zhang Guo » et ses alias associés, qui sont tous maintenant suspendus. Des dizaines d’autres chercheurs en sécurité – et peut-être même plus – aux États-Unis, en Europe et en Chine ont reçu des messages similaires au cours des derniers mois. Mais comme l’a révélé lundi le groupe d’analyse des menaces de Google, ces messages n’émanaient pas du tout d’amateurs de chasse aux insectes. Ils étaient l’œuvre de pirates envoyés par le gouvernement nord-coréen, dans le cadre d’une vaste campagne d’attaques d’ingénierie sociale visant à compromettre des professionnels de la cybersécurité très en vue et à voler leurs recherches.
Les agresseurs ne se sont pas limités à Twitter. Ils ont également établi des identités sur Telegram, Keybase, LinkedIn et Discord, en envoyant des messages aux chercheurs en sécurité établis sur les collaborations potentielles. Ils ont créé un blog d’apparence légitime, avec le type d’analyses de vulnérabilité que l’on trouve dans une vraie entreprise. Ils avaient trouvé une faille dans Microsoft Windows, disaient-ils, ou dans Chrome, selon l’expertise de leur cible. Ils avaient besoin d’aide pour déterminer si elle était exploitable.
Tout cela n’était qu’une façade. Chaque échange avait un objectif commun : amener la victime à télécharger un logiciel malveillant se faisant passer pour un projet de recherche, ou cliquer sur un lien dans un article de blog truffé de logiciels malveillants. Cibler les chercheurs en sécurité était, comme l’a dit Google, une « nouvelle méthode d’ingénierie sociale ».
« Si vous avez communiqué avec l’un de ces comptes ou visité le blog des acteurs, nous vous suggérons de revoir vos systèmes », a écrit Adam Weidemann, chercheur du TAG. « Jusqu’à présent, nous n’avons vu ces acteurs cibler les systèmes Windows que dans le cadre de cette campagne ».
Les attaquants ont principalement tenté de diffuser leurs logiciels malveillants en partageant des projets Microsoft Visual Studio avec leurs cibles. Visual Studio est un outil de développement pour l’écriture de logiciels ; les attaquants envoyaient le code source d’exploitation sur lequel ils prétendaient travailler avec des logiciels malveillants en tant que passager clandestin. Une fois qu’une victime a téléchargé et ouvert le projet contaminé, une bibliothèque malveillante commence à communiquer avec le serveur de commande et de contrôle des attaquants.
Le lien vers le blog malveillant offrait une autre possibilité d’infection. En un clic, les cibles déclenchaient sans le savoir un exploit qui donnait aux attaquants un accès à distance à leur appareil. Les victimes ont déclaré qu’elles utilisaient les versions actuelles de Windows 10 et de Chrome, ce qui indique que les pirates ont pu utiliser un exploit inconnu, ou « zero-day », de Chrome pour y accéder.
Avraham de ZecOps dit que si les hackers ne l’ont pas trompé dans leur bref chat DM, il a bien cliqué sur un lien dans un des articles de blog des attaquants qui prétendaient montrer un code lié à la recherche. Il l’a fait à partir d’un appareil Android dédié et isolé qui, selon lui, ne semble pas avoir été compromis. Mais l’analyse de ce faux blog a suscité des signaux d’alarme à l’époque. « Je m’en suis douté dès que j’ai vu le shellcode », dit-il à propos de la charge utile du malware que l’attaquant a déployé lors d’une tentative de compromis. « C’était un peu bizarre et énigmatique.
Poster un commentaire