Social engineering

Des pirates nord-coréens ciblent des experts en cybersécurité

Des pirates nord-coréens usent de méthodes de social engineering élaborées pour cibler les chercheurs en cybersécurité sur les médias sociaux, préviennent les experts de Google. Détail inquiétant: ils parviennent entre autres à infecter des systèmes depuis un blog visité avec Chrome sur Windows 10.

Drapeau de la Corée du Nord. (Source: Chickenonline from Pixabay)
Drapeau de la Corée du Nord. (Source: Chickenonline from Pixabay)

La communauté de recherche en cybersécurité est très active sur les médias sociaux, en particulier sur Twitter. Les pirates le savent et certains d'entre eux font usage de méthodes de social engineering élaborées pour hacker les chercheurs. Spécialisé dans la traque des menaces persistantes avancées (APT), le Threat Analysis Group de Google tire la sonnette d’alarme dans un récent billet de blog: des pirates informatiques nord-coréens soutenus par un Etat mènent une opération ciblant des chercheurs en sécurité de différentes entités et entreprises.

Dans le but de se faire passer pour d'authentiques membres de la communauté de recherche en cybersécurité, les pirates ont créé un blog dédié à leur prétendue activité, ainsi que de multiples profils Twitter pour interagir avec des cibles potentielles, explique le Threat Analysis Group. Leur blog contient des comptes rendus et des analyses concernant des vulnérabilités dévoilées publiquement. Dont des billets de spécialistes légitimes et prétendument invités à publier leurs découvertes. Certaines analyses d’exploitation de failles, publiées notamment sous forme de vidéo sur Twitter ou Youtube, sont fausses et ont donc été mises en scène, selon les experts de Google.

Fichier DLL malveillant

Le blog et les faux profils servent aux pirates à entrer en contact avec les chercheurs ciblés. Une fois la communication établie, ils invitent les vrais experts à collaborer sur la recherche d’une vulnérabilité via un projet Visual Studio. Or, ce dernier contient un fichier DLL malveillant exécuté par les événements de build dans Visual Studio. Le fichier corrompu agit ensuite comme porte dérobée en établissant une communication entre le système d'exploitation du chercheur et les serveurs de commande et de contrôle des attaquants.

Faille dans Chrome sur Windows 10

L’attaque exploitant un projet Visual Studio n’est toutefois pas la seule observée par l’équipe du Threat Analysis Group de Google. Plus inquiétant, certains spécialistes ont vu leur système infecté après avoir visité le blog des pirates. En l'occurrence avec le navigateur Chrome sur Windows 10, quand bien même ils employaient des versions à jour. «A l'heure actuelle, nous ne sommes pas en mesure de confirmer le mécanisme de compromission, mais nous accueillons favorablement toute information que d'autres pourraient avoir», expliquent les experts de Google.

Les attaquants ont utilisé de multiples plateformes pour communiquer avec leurs cibles potentielles, notamment Twitter, LinkedIn, Telegram et l’e-mail. Une liste des adresses URL et profils concernés est disponible via la communication du Threat Analysis Group.

Webcode
DPF8_204664