Les pirates informatiques qui ont frappé les Jeux olympiques d’hiver de 2018 sont toujours vivants

Rappelez-vous la cyberattaque « Destroyer olympique » ?

Le groupe qui est à l’origine de ce projet est toujours vivant et a été retrouvé en ciblant des laboratoires de prévention des menaces biologiques et chimiques en Europe et en Ukraine, ainsi que quelques organisations financières en Russie.

Plus tôt cette année, un groupe inconnu de hackers notoires a ciblé les Jeux olympiques d’hiver de 2018 , en Corée du Sud, en utilisant un logiciel malveillant destructeur qui plantait délibérément de faux drapeaux sophistiqués pour inciter les chercheurs à attribuer la campagne.

Malheureusement, les logiciels malveillants destructeurs ont réussi dans une certaine mesure au moins quelques jours après l’attaque. Divers chercheurs en sécurité ont postmortemé le logiciel malveillant Destroyer olympique et ont commencé à attribuer l’attaque à différents groupes de piratage de la Corée du Nord, de la Russie et de la Russie. et la Chine.

Plus tard, des chercheurs du fabricant d’antivirus russe Kaspersky Labs ont découvert plus de détails sur l’attaque, y compris la preuve de faux artefacts d’attribution, et ont conclu que toute l’attaque était une opération magistrale dans la tromperie.

Maintenant, selon un nouveau rapport publié aujourd’hui par Kaspersky Labs, le même groupe de pirates informatiques, qui n’a pas encore été identifié, a été trouvé en Russie, en Ukraine et dans plusieurs pays européens en mai et juin 2018, en particulier les organisations qui répondent aux protéger contre les menaces biologiques et chimiques.

Une nouvelle attaque partage des similarités avec Olympic Destroyer

Au cours de leur enquête, les chercheurs ont découvert que les tactiques d’exploitation et de tromperie utilisées par la campagne récemment découverte partagent de nombreuses similitudes avec l’attaque des destroyers olympiques.

« En mai-juin 2018, nous avons découvert de nouveaux documents sur le harponnage qui ressemblaient beaucoup aux documents utilisés par Olympic Destroyer dans le passé », ont déclaré les chercheurs. "Ils continuent d’utiliser un vecteur d’infection exécutable non-binaire et des scripts obfusqués pour échapper à la détection."

Tout comme Olympic Destroyer, la nouvelle attaque vise également les utilisateurs affiliés à des organisations spécifiques en utilisant des courriels de spear-phishing qui semblent provenir d’une connaissance, avec un document joint.

Si les victimes ouvrent le document malveillant, elles exploitent les macros pour télécharger et exécuter plusieurs scripts PowerShell en arrière-plan et installer la dernière charge utile de troisième étape pour prendre le contrôle à distance du système des victimes.

Les chercheurs ont découvert que la technique utilisée pour obscurcir et décrypter le code malveillant est la même que celle utilisée dans la campagne originale de spear-phishing de l’Olympic Destroyer.

Le script de deuxième niveau désactive la journalisation des scripts Powershell pour éviter de laisser des traces, puis télécharge la charge utile finale de « Powershell Empire agent », qui permet le contrôle sans fil des systèmes compromis sur un canal de communication crypté.

Les pirates ciblent les laboratoires de prévention des menaces biologiques et chimiques

Selon les chercheurs, le groupe a tenté d’accéder à des ordinateurs dans des pays tels que la France, l’Allemagne, la Suisse, la Russie et l’Ukraine.

Les chercheurs ont trouvé des preuves de pirates informatiques ciblant principalement des personnes affiliées à une conférence sur les menaces biochimiques, appelée Spiez Convergence, organisée en Suisse par le laboratoire Spiez .

Le laboratoire de Spiez a joué un rôle essentiel dans l’enquête sur l’empoisonnement en mars d’un ancien espion russe au Royaume-Uni. Le Royaume-Uni et les Etats-Unis ont tous deux déclaré que la Russie était derrière l’empoisonnement et a expulsé des dizaines de diplomates russes.

Un autre document ciblait le ministère de la Santé en Ukraine.

On ne sait pas encore qui est à l’origine de ces attaques, mais Kaspersky conseille à tous les organismes de recherche et de prévention des menaces biochimiques de renforcer leur sécurité informatique et d’effectuer des audits de sécurité non planifiés.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 25 |

Actu en image