Des hackers chinois s’attaquent aux administrateurs de grandes sociétés mondiales

Sécurité : Le groupe APT 10 a frappé à nouveau, utilisant cette fois une attaque de type « Point d’eau » afin de viser le site du Foreign Trade Council et collecter des informations sensibles liées à ses dirigeants.

Des cybercriminels étatiques basés hors de chine se sont attaqués aux dirigeants de plusieurs entreprises internationales en compromettant l’un des sites web d’un important groupe de lobbying.

La sophistication de l’attaque ayant visé le National Foreign Trade Council, basé à Washington, pousse les chercheurs de la société Fidelis à attribuer l’attaque au groupe de cybercriminels chinois connu sous la dénomination APT10.

C’est la seconde attaque attribuée à APT 10 révélée en l’espace d’une semaine. PwC avait ainsi montré comment le groupe s’attaquait à différents offreurs de services managés à travers le monde, afin de s’emparer de données sensibles.

 

Cette nouvelle opération, baptisée Tradesecret a été détaillée dans un nouveau rapport et sa publication intervient juste avant la rencontre entre le président des États-Unis Donald Trump et le dirigeant chinois Xi Jinping. Les deux dirigeants doivent théoriquement aborder la question des cyberattaques et des conflits informatiques. Le nombre d’attaques informatiques émanant de la Chine a décliné ces derniers temps, bien que la sophistication des attaques soit croissante.

Les chercheurs de la société Fidelis expliquent que certaines pages spécifiques du site web du NFTC ont été modifiées afin d’insérer un lien malveillant redirigeant vers un malware bien spécifique. Celui-ci était en effet conçu pour s’attaquer à une liste de cible précises : les utilisateurs inscrits certains meetings précis du NFTC tels qu’une réunion du conseil d’administration prévue à Washington DC.

Les personnes visées occupent des postes stratégiques au sein des plus grandes entreprises du monde et mettre la main sur leurs données personnelles serait une aubaine pour des cybercriminels qui chercheraient à s’emparer de secrets d’entreprise.

Cette campagne s’est déroulée du 27 février au 1er Mars, via des liens malveillants mis en place sur le site du NFTC et redirigeant les utilisateurs vers un malware baptisé Scanbox. Cet outil de reconnaissance a été utilisé dans différentes campagnes depuis 2014. Il a également été lié à plusieurs campagnes associées au gouvernement chinois.

Les attaques exploitant Scanbox, un malware que l’on également retrouvé dans les attaques ayant visé l’US Office of personnal management ainsi que l’organisme de sécurité sociale Anthem, permettent notamment d’espionner les sites visités par l’utilisateur infecté, ainsi que son système d’exploitation, la taille de son écran ou encore sa géolocalisation. Le malware permet également d’enregistrer les frappes de clavier.

Cette dernière fonctionnalité permet potentiellement aux attaquants de récupérer des identifiants et mots de passe, utilisés ensuite pour s’introduire sur les réseaux internes.

Selon Fidelis, cette attaque n’est donc que la première étape d’une campagne de plus grande ampleur et les utilisateurs visés par cette première tentative devront donc rester sur leurs gardes. « Cet outil de reconnaissance est utilisé pour faciliter la mise en place de campagnes plus ciblées dans un futur proche. Il est donc probable que les utilisateurs visés feront l’objet de nouvelles attaques plus ciblées dans un futur proche visant à compromettre leurs systèmes. Notamment au travers d’attaques de spearphishing » expliquent les chercheurs dans le rapport.

Le lien malveillant a été retiré du site du NFTC le 2 mars, et la société de cybersécurité a informé le groupe de l’incident peu de temps après.

Le groupe APT10 se spécialise dans l’espionnage depuis 2009 et a évolué : si dans un premier temps ils ciblaient principalement les sociétés militaires américaines et le secteur des télécommunications, le groupe s’attaque maintenant à des entreprises diverses situées dans tous les coins du globe.

Le groupe est à l’origine de la famille de malware Poison Ivy et utilise aujourd’hui des outils customisés capables de compromettre les systèmes d’entreprises et de procéder à des vols de gros volumes de données.

Cet article est une traduction de “Elite Chinese hackers target board directors at some of the world’s largest firms” initialement publié sur Zdnet.com

Des hackers chinois s’attaquent aux administrateurs de grandes sociétés mondiales

Source : L’article << Des hackers chinois s’attaquent aux administrateurs de grandes sociétés mondiales >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
Par | 2017-09-18T18:29:41+00:00 avril 10th, 2017|Actualité|0 commentaire

Laisser un commentaire