Des milliers d'ordinateurs industriels dans le monde ont été touchés par une campagne de logiciels espions. 1,6 % des ordinateurs ICS concernés en Allemagne. Le malware utilisé présente des similitudes avec Lazarus.
De la mi-janvier à la mi-novembre 2021, les experts de Kaspersky ont observé de nouveaux malwares qui ont infecté plus de 35.000 195 ordinateurs dans XNUMX pays. Le malware « PseudoManuscrypt » présente des similitudes avec le malware « Manuscrypt » du groupe Advanced Persistent Threat (APT) Lazarus. Il possède des capacités d'espionnage avancées et a jusqu'à présent été détecté dans des attaques contre des organisations gouvernementales et des systèmes de contrôle industriels (ICS).
35.000 XNUMX ordinateurs ICS concernés
Les entreprises industrielles sont parmi les cibles les plus recherchées par les cybercriminels - à la fois pour des raisons financières et parce qu'elles ont beaucoup d'informations à offrir. Cette année, des groupes APT comme Lazarus ou APT41 ont montré un vif intérêt pour les entreprises industrielles. En enquêtant sur une série d'attaques, les experts de Kaspersky ont découvert un nouveau malware qui présente certaines similitudes avec le malware Manuscrypt de Lazarus, utilisé dans le cadre de la campagne ThreatNeedle de ce groupe contre l'industrie de la défense. Le nom PseudoManuscrypt est donc basé sur la similitude des deux campagnes.
Infection par PseudoManuscrypt
PseudoManuscrypt est d'abord téléchargé sur les systèmes des cibles via de fausses archives d'installation de logiciels piratés, dont certaines sont conçues pour des logiciels piratés spécifiques à ICS. Ces faux installateurs sont sans doute proposés via une plate-forme Malware-as-a-Service (MaaS), cependant, dans certains cas, PseudoManuscrypt a également été installé via le célèbre botnet Glupteba. Après l'infection initiale, une chaîne d'infection compliquée suit, à travers laquelle le module principal malveillant est ensuite probablement téléchargé.
Les experts de Kaspersky ont pu identifier deux variantes de ce module, qui ont toutes deux des capacités avancées de logiciels espions - y compris la journalisation des frappes, la copie des données du presse-papiers, le vol des données d'authentification et de connexion VPN (et éventuellement RDP), ainsi que la copie de captures d'écran.
L'industrie ciblée par les pirates et les groupes APT
Les produits Kaspersky ont bloqué PseudoManuscrypt entre le 20 janvier et le 10 novembre 2021 sur plus de 35.000 195 ordinateurs dans 7,2 pays. Bon nombre des cibles étaient des organisations industrielles et gouvernementales, y compris des entreprises militaro-industrielles et des laboratoires de recherche. 1,6 % des ordinateurs attaqués faisaient partie de systèmes de contrôle industriels (ICS), les secteurs de l'ingénierie et de l'automatisation des bâtiments étant les plus durement touchés. 2,2 % des ordinateurs ICS compromis et 3 % des autres ordinateurs concernés se trouvaient en Allemagne. Les attaques ne montrent aucune préférence de l'industrie, mais le grand nombre d'ordinateurs techniques touchés, y compris les systèmes utilisés pour la modélisation XNUMXD et physique et les jumeaux numériques, suggèrent que l'espionnage industriel pourrait être une cible.
Ce qui est étrange, c'est que certains des ordinateurs ICS concernés ont des liens avec les victimes de la campagne Lazarus précédemment signalées par le CERT ICS de Kaspersky. Les données sont envoyées au serveur des attaquants via un protocole rare qui utilise une bibliothèque auparavant uniquement utilisée par le malware APT41. Cependant, étant donné le grand nombre de victimes et le manque d'orientation claire, Kaspersky n'associe pas la campagne à Lazarus ou à tout autre acteur de menace APT connu.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/