Le groupe Lazarus attaque les entreprises de logistique : les défaillances de la logistique mondiale du fret peuvent avoir de graves conséquences. Qu'elles soient numériques ou analogiques : les pannes sont particulièrement délicates pour la logistique globale du fret. Cela n'a été démontré que récemment par le blocage du canal de Suez par le porte-conteneurs "Ever Given".
Les chercheurs d'ESET ont découvert une porte dérobée auparavant inconnue utilisée lors d'une attaque contre une entreprise de logistique de fret en Afrique du Sud. Le célèbre groupe Lazarus est à l'origine du malware. À cette fin, les experts en sécurité du fabricant européen de sécurité informatique ont découvert des similitudes avec les opérations et procédures précédentes du groupe de hackers.
Backdoor Vyveva a des capacités d'espionnage
La porte dérobée, nommée Vyveva, possède plusieurs fonctions d'espionnage, telles que la collecte d'informations sur l'ordinateur cible et leur transmission aux ordinateurs Lazarus. Une interruption des systèmes informatiques aurait également été possible. Le logiciel espion communique avec son serveur Command & Control (C&C) via le réseau Tor. Les chercheurs d'ESET ont maintenant publié leurs résultats sur WeliveSecurity.
« Vyveva partage de nombreuses similitudes de code avec les anciens échantillons de Lazarus. De plus, l'utilisation d'un faux protocole TLS dans la communication réseau, le chaînage des lignes de commande et la manière dont les services de cryptage et Tor sont utilisés pointent tous vers le groupe APT. Par conséquent, nous pouvons attribuer la porte dérobée au groupe Lazarus avec une forte probabilité », explique Filip Jurčacko, le chercheur d'ESET qui a analysé Vyveva.
Les chercheurs d'ESET suspectent une attaque ciblée
Les enquêtes du fabricant européen de sécurité informatique indiquent que Vyveva a été utilisé de manière ciblée. Les chercheurs d'ESET n'ont pu trouver que les ordinateurs de deux victimes, qui sont des serveurs d'une société de logistique sud-africaine. L'analyse des chercheurs d'ESET a révélé que Vyveva est utilisé depuis au moins décembre 2018.
Communication sur le réseau Tor
La porte dérobée exécute les commandes émises par le groupe de piratage, telles que la collecte de données sensibles. Il existe également une commande pour modifier les horodatages sur les fichiers. Vyveva communique avec le serveur C&C via le réseau Tor et le contacte toutes les trois minutes. Le logiciel espion envoie des informations sur l'ordinateur affecté et ses lecteurs. Des soi-disant chiens de garde sont utilisés ici, qui envoient un message au serveur C&C lorsque certaines modifications sont apportées au système infecté.
«Les chiens de garde spéciaux de porte dérobée qui surveillent les disques nouvellement connectés et déconnectés sont particulièrement intéressants. Il existe également un chien de garde qui surveille le nombre de sessions actives. Cela peut être, par exemple, le nombre d'utilisateurs enregistrés. Ces composants peuvent déclencher une connexion au serveur C&C en dehors de l'intervalle régulier et préconfiguré de trois minutes », explique Jurčacko.
Plus sur WeLiveSecurity sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.