Le groupe de hackers XDSpy a volé des secrets gouvernementaux en Europe pendant des années. Pour leur cyberespionnage, le groupe auparavant inaperçu a souvent utilisé le spear phishing lié au COVID-19.
Les chercheurs d'ESET ont découvert un réseau de cyberespionnage qui pouvait auparavant opérer sans être remarqué. Selon le fabricant européen de sécurité, le groupe APT est actif depuis 2011 et s'est spécialisé dans le vol de documents gouvernementaux sensibles en Europe de l'Est et dans la région des Balkans. Les cibles sont principalement des entités gouvernementales, y compris des établissements militaires et des ministères des Affaires étrangères, ainsi que des entreprises isolées. Surnommé XDSpy par ESET, le gang de hackers est passé largement inaperçu pendant neuf ans, ce qui est rare.
Les mises à jour de sécurité négligées invitent les attaquants
« La campagne XDSpy est exemplaire pour l'état actuel de la cybersécurité. Des mises à jour de sécurité qui n'ont pas été importées, des logiciels et du matériel obsolètes, un manque de surveillance - tout cela invite non seulement les espions, mais aussi d'autres cyber-gangsters. Cependant, ce serait une erreur de croire que seules les autorités et institutions d'Europe de l'Est peuvent facilement en être victimes », déclare Thomas Uhlemann, spécialiste de la sécurité chez ESET Allemagne. « Même dans les pays germanophones, il y a encore beaucoup trop d'incidents informatiques. Ceux-ci pourraient être évités si les règles de sécurité informatique de base les plus simples telles que la protection contre les logiciels malveillants, les mises à jour constantes du matériel et des logiciels, les budgets appropriés, les autorisations d'accès modernes, le cryptage et le savoir-faire avaient été en place.
Attaques de spear phishing réussies
Les opérateurs XDSpy utilisent depuis longtemps les e-mails de spear phishing pour compromettre leurs cibles. Les e-mails varient : certains contiennent une pièce jointe, tandis que d'autres contiennent un lien vers un fichier malveillant. Ce sont généralement des archives ZIP ou RAR. Lorsque la victime double-clique dessus, le fichier LNK extrait télécharge et installe "XDDown" - le composant principal du logiciel malveillant.
XDSpy exploite la vulnérabilité de Microsoft
Fin juin 2020, les attaquants ont intensifié leurs attaques en exploitant une vulnérabilité dans Internet Explorer, CVE-2020-0968. Bien que cela ait été corrigé par Microsoft en avril 2020, la mise à jour n'a évidemment pas été installée partout. Au lieu d'une archive avec un fichier LNK, le serveur Command&Control a fourni un fichier RTF. Une fois ouvert, il téléchargeait un fichier HTML et exploitait la vulnérabilité.
CVE-2020-0968 fait partie d'une série de vulnérabilités similaires. Par exemple, l'un d'entre eux se trouve dans l'ancien moteur JavaScript d'Internet Explorer, qui a été exposé au cours des deux dernières années. Au moment où cette vulnérabilité a été exploitée par XDSpy, aucune preuve de concept et très peu d'informations sur cette vulnérabilité particulière n'étaient disponibles en ligne. Vraisemblablement, le groupe de hackers a soit acheté cet exploit à un courtier, soit développé lui-même un exploit d'un jour.
Free riders : les victimes piégées par les problèmes de Covid-19
Le groupe de hackers a sauté dans le train du Covid-2020 au moins deux fois en 19. "Le dernier cas a été découvert il y a quelques semaines dans le cadre de leurs campagnes de spear phishing en cours", ajoute Matthieu Faou, chercheur chez ESET. "Comme nous n'avons trouvé aucune similitude de code avec d'autres familles de logiciels malveillants et n'avons observé aucun chevauchement dans l'infrastructure réseau, nous supposons que XDSpy est un groupe auparavant non documenté", conclut Faou.
En savoir plus sur WeLiveSecurity sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.