Le fabricant européen de sécurité informatique ESET a publié son dernier "APT Activity Report T3 2022". Focus : Des groupes de hackers chinois sont actifs en Europe et des groupes de hackers russes continuent de cibler l'Ukraine.
Les résultats des enquêtes sur certains groupes de menaces persistantes avancées (APT) sont régulièrement résumés dans ces rapports. Dans le dernier numéro, qui couvre la période de septembre à décembre 2022, les experts d'ESET présentent leurs dernières informations sur diverses campagnes mondiales de piratage. Des groupes alliés à la Chine ont déplacé leurs activités vers les pays européens. Les hackers russes comme Sandworm, Callisto et Gamaredon continuent de cibler l'Ukraine. De plus, des groupes liés à l'Iran et à la Corée du Nord continuent d'opérer à grande échelle.
Les acteurs de la menace chinoise rendent l'Europe dangereuse
« Les pays européens deviennent de plus en plus intéressants pour les groupes APT chinois. Traditionnellement, les groupes de hackers alignés sur la Chine comme Goblin Panda et Mustang Panda avaient tendance à se concentrer davantage sur l'Asie du Sud-Est », explique Jan-Ian Boutin, directeur d'ESET Threat Research. « Mais en novembre dernier, les chercheurs d'ESET ont découvert une nouvelle porte dérobée appelée TurboSlate dans une organisation gouvernementale de l'Union européenne. Le logiciel malveillant a été retracé jusqu'à Goblin Panda, qui semble copier les opérations du groupe APT Mustang Panda. Ces derniers ont découvert par eux-mêmes les destinations européennes début 2022. « Le groupe de cyberespionnage est connu pour cibler les institutions gouvernementales, les entreprises et les instituts de recherche. En septembre dernier, les experts d'ESET ont découvert un chargeur Korplug qui était utilisé par des pirates informatiques dans une entreprise du secteur suisse de l'énergie et de la technologie », a poursuivi Boutin.
La cyberguerre en Ukraine continue
Le groupe notoire Sandworm est également très actif et poursuit ses opérations contre l'Ukraine. Les chercheurs d'ESET sont tombés sur un essuie-glace jusqu'alors inconnu qui a été utilisé contre une entreprise du secteur de l'énergie dans ce pays d'Europe de l'Est en octobre 2022. L'attaque décrite a eu lieu au moment où les forces russes ont commencé à lancer des attaques de missiles sur les infrastructures énergétiques. Bien qu'ESET ne puisse pas prouver que ces événements ont été coordonnés, cela suggère que Sandworm et l'armée russe partagent des objectifs similaires.
ESET a surnommé le dernier essuie-glace, issu d'une gamme d'essuie-glaces découverts précédemment, NikoWiper. Le logiciel malveillant est basé sur SDelete, un outil de ligne de commande Microsoft utilisé pour supprimer des fichiers en toute sécurité. En plus des logiciels malveillants d'effacement des données, les chercheurs d'ESET ont également découvert des attaques de vers de sable utilisant un rançongiciel comme essuie-glace. Le logiciel de cryptage avait le même objectif que l'essuie-glace, il s'agissait de détruire des données. Cela se traduit principalement par le fait que la fourniture d'une clé de déchiffrement n'a jamais été prévue.
Ver des sables, Callisto, Gamaredon
En plus de Sandworm, d'autres groupes APT russes tels que Callisto et Gamaredon ont poursuivi des campagnes de harponnage contre l'Ukraine pour voler des informations d'identification et installer des logiciels malveillants. En octobre 2022, ESET a détecté le rançongiciel Prestige, qui a été utilisé contre des entreprises de logistique en Ukraine et en Pologne. Un mois plus tard, les chercheurs d'ESET en Ukraine ont découvert un nouveau logiciel de cryptage écrit en .NET, qu'ils ont baptisé RansomBoggs. ESET Research a publié les résultats de son enquête sur cette campagne sur le compte Twitter du même nom.
L'Iran et la Corée du Nord continuent d'opérer à grande échelle
Des groupes alliés à l'Iran poursuivent également leurs attaques - en plus des entreprises israéliennes, POLONIUM a également ciblé les filiales étrangères d'entreprises israéliennes. Le groupe iranien APT MuddyWater est également soupçonné d'avoir compromis un fournisseur de services de sécurité managés.
Le groupe de piratage affilié à la Corée du Nord, Konni, a utilisé d'anciennes vulnérabilités pour compromettre les entreprises de crypto-monnaie et les échanges dans différentes parties du monde. Les chercheurs d'ESET ont découvert que les acteurs de la menace ont ajouté l'anglais au répertoire des langues qu'il utilise dans ses documents de tromperie. Cela suggère qu'ils ne limitent plus leur rayon d'action aux seules cibles habituelles russes et sud-coréennes.
Contexte du rapport d'activité de l'APT
En plus du rapport sur les menaces ESET, ESET Research publie le rapport d'activité ESET APT, qui fournit un aperçu régulier des résultats de la recherche sur les activités des menaces persistantes avancées (APT). La première édition couvre la période de mai à août 2022. À l'avenir, le rapport APT sera publié parallèlement au rapport sur les menaces ESET.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.