Threat Landscape #31
Jeux olympiques
La désinformation sur les JO tourne à plein régime
Alors que les Jeux olympiques ont démarré en fanfare et sans trop de problèmes, une petite musique désagréable continue de se répandre sur la Toile sous la forme de faux récits et de fausses allégations. Ainsi, les analystes de NewsGuard suivent actuellement pas moins de 18 récits d’intox qui ont été déclinés en une quinzaine de langues. Leurs objectifs sont de décrier cet évènement sportif et de faire peur, en publiant de fausses allégations sur des menaces terroristes, des risques liés à la sécurité et le manque de préparation des organisateurs.
L’ombre de la Russie plane lourdement sur ce flot de fausses informations. Sur les 38 sites qui ont relayé ces récits, dix-sept avaient déjà diffusé de la propagande pro-russe par le passé, notamment au travers du réseau de sites Pravda, qui diffuse des contenus pro-Kremlin. Les constats de NewsGuard rejoignent donc les conclusions de Microsoft, qui avait déjà alerté en juin dernier sur deux acteurs d’influence d’origine russe qui ont réorienté leurs contenus nocifs vers les JO. Baptisés Storm-1679 et Storm-1099 (alias Doppelgänger), ils ont démarré leurs campagnes dès août 2023, avec une intensification notable à partir de janvier 2024. Parmi tous ces faux récits, quatre sortent du lot :
L’œil d’Intrinsec :
Ces opérations de désinformation ne doivent surprendre personne. Depuis plus d’une dizaine d’années maintenant, la Russie diffuse de l’intox de façon industrielle pour saper le moral de ses adversaires. Toutefois l’impact mental semble d’autant plus limité que l’évènement qu’il vise est grand. En saturant totalement les médias, les JO annulent mécaniquement le poison narratif russe qui leur était destiné. Ce qui est plus inquiétant, en revanche, c’est que ces récits sont assortis d’opérations physiques réelles. Début juin, les forces de l’ordre arrêtent un Russo-Ukrainien qui prévoyait de poser une bombe dans un magasin Bricorama. Le 21 juillet, c’est au tour d’un membre du FSB de se faire écrouer à Paris pour « intelligence avec une puissance étrangère en vue de susciter les hostilités en France ». Faire craindre l’avènement de catastrophes et les créer en même temps, c’est un niveau d’ingérence bien supérieur à ce qui l’on connaissait jusqu’à présent.
Plus d’informations ici.
Corée du Nord
Tentative d’infiltration par un faux travailleur informatique nord-coréen
Le 23 juillet, l’entreprise de cybersécurité américaine KnowBe4 a publié un rapport d’incident concernant une tentative d’infiltration par un faux travailleur informatique nord-coréen.
Malgré ses efforts pour déployer via un Raspberry pi, un infostealer ciblant les données stockées sur les navigateurs de recherche, celui-ci n’aurait pas réussi à exfiltrer des données ou à compromettre les systèmes de l’entreprise.
En effet, peu de temps après son embauche, KnowBe4 dit avoir détecté des activités suspectes sur sa machine et avoir rapidement réagi en bloquant ses accès, qui étaient déjà restreints. Le PDG a précisé que « cet individu n’a jamais eu accès aux données des clients, aux réseaux privés de KnowBe4, au cloud, au code ou à toute autre information confidentielle de KnowBe4. Il disposait d’applications de communication de base et d’un ordinateur portable neuf fourni par l’usine ». Il dit avoir voulu divulguer un tel incident pour avertir les autres entreprises de l’écosystème cyber des risques liés aux menaces internes et à l’embauche de travailleurs à distance.
L’individu nord-coréen aurait usurpé l’identité d’un citoyen américain et utilisé une photo modifiée par IA pour contourner les protocoles de contrôle des antécédents. Quatre entretiens en visioconférence avec les ressources humaines n’ont pas suffi à dévoiler la supercherie. KnowBe4 a indiqué avoir pris comme initiatives de n’expédier désormais les postes de travail des nouveaux employés qu’à un magasin UPS proche aux États-Unis et d’exiger une pièce d’identité avec photo. L’enquête du FBI est encore en cours.
L’œil d’Intrinsec :
APT37, aussi appelé Reaper, est le principal mode opératoire nord-coréen derrière l’Operation DreamJob, dont les campagnes de social engineering ciblent les entreprises technologiques en Occident et en Corée du Sud en prétendant être un recruteur ou un candidat. Cette tactique a émergé en 2019 avec l’augmentation du nombre de travailleurs à distance durant la pandémie de COVID. Celle-ci continue d’évoluer et de gagner en sophistication : en juillet, Medium a identifié deux nouvelles campagnes baptisées « Contagious Interview » et « Wagemole » impliquant la création de faux profils GitHub et de pages de phishing d’entreprises nord-américaines.
Ce type d’opération d’espionnage a pour objectif de surveiller les secteurs d’intérêt des rivaux de Pyongyang et dérober leurs secrets technologiques en échappant à la détection. Ces infiltrations s’inscrivent ainsi dans la stratégie asymétrique de la Corée du Nord : elles lui permettent de renforcer le développement de son industrie et de sa R&D tout en maintenant sa capacité à mener des actions perturbatrices, voire destructrices, contre ses ennemis.
Il est nécessaire de rester vigilant face à cette menace et de se prémunir de répercussions judiciaires, car l’embauche de travailleurs nord-coréens est interdite par la résolution 2397 de 2017 des Nations Unies.
Recommandé par LinkedIn
Défense
Nouvelle campagne de phishing ciblant les entreprises de défense ukrainiennes
Le 17 juillet dernier, le CERT-UA, équipe d’intervention informatique d’urgence de l’État ukrainien, a publié un article concernant des attaques visant des entreprises ukrainiennes du secteur de la défense par le groupe malveillant UAC-0180.
Cette campagne d’hameçonnage se distingue par la diffusion de courriels usurpant des échanges à propos d’un contrat pour l’achat de drones. Attaché à ces courriels, un fichier ZIP contient lui-même un document PDF infecté. Il permettrait de télécharger un fichier malveillant nommé GLUEEGG, qui sert à déchiffrer et à exécuter un chargeur appelé DROPCLUE. Ce dernier installe ensuite ATERA sur la machine, un programme légitime de contrôle à distance.
Le groupe cible ainsi les systèmes Windows et macOS pour obtenir un accès non autorisé et voler des informations sensibles. Ils utilisent une variété de logiciels malveillants développés dans différents langages, notamment ACROBAIT (C), ROSEBLOOM et ROSETHORN (Rust), GLUEEGG (Go) et DROPCLUE (Lua).
Lorsque la victime ouvre l’archive ZIP, elle trouve un PDF avec un lien menant au soi-disant contrat. En cliquant sur ce lien, le fichier « adobe_acrobat_fonts_pack.exe » est alors téléchargé, se faisant ainsi passer pour un pack de polices Adobe légitime. GLUEEGG déchiffre ensuite DROPCLUE, qui ouvre un document leurre intitulé « UA-2024-07-04-010019-a-open.pdf » afin de renforcer l’impression de légitimité et exécuter un fichier EXE. Ce dernier va ensuite lancer un script BAT qui utilise l’utilitaire « curl.exe » pour installer ATERA. Bien qu’ATERA soit un logiciel légitime, il est utilisé par des attaquants pour accéder à distance à des systèmes compromis, leur permettant ainsi de contrôler et d’exfiltrer des données sensibles.
L’œil d’Intrinsec :
Ces cyberattaques s’inscrivent dans un contexte de menaces persistantes contre les infrastructures critiques ukrainiennes. Des groupes comme Vermin et Ghostwriter, souvent associés à des États comme la Russie ou la Biélorussie, ont également mené des attaques similaires.
En juin, Vermin a utilisé le malware Spectr pour voler des informations des forces armées ukrainiennes, tandis que Ghostwriter a ciblé le ministère de la Défense ukrainien avec des attaques de phishing sophistiquées. Les entreprises de défense doivent ainsi rester vigilantes et renforcer leurs mesures de sécurité pour contrer ces menaces croissantes.
Chine
Découverte d’un syndicat cybercriminel chinois derrière des sites de jeux d’argent illégaux en Europe
Un nouveau rapport de la société Infoblox, spécialisée en sécurité informatique, révèle l’existence d’un syndicat chinois de la cybercriminalité, baptisé Vigorish Viper, qui contribue à alimenter une économie mondiale illégale des jeux d’argent d’une valeur d’environ 1 700 milliards de dollars par an et qui serait lié au trafic d’êtres humains lié à la cyberfraude en Asie du Sud-Est.
Selon les chercheurs ce syndicat ferait également sa promotion en parrainant des clubs y compris dans la Première Ligue anglaise via son site de paris sportifs en ligne Yabo. Ce site a sponsorisé des clubs à la renommée mondiale tels que Manchester United, le Paris Saint-Germain, l’AS Monaco ainsi que Bayern.
Néanmoins, après la signature de ces contrats, le site de paris sportif a été dissous en 2022 par les autorités chinoises à la suite d’une plainte pour fraude déposée en décembre 2019 par des joueurs. Bien que les jeux d’argent soient presque totalement illégaux en Chine, Infloblox estime que les citoyens de la région parient près de 850 milliards de dollars par an. Les activités criminelles du syndicat ne reposent pas que sur les jeux de paris illégaux, mais également la traite d’êtres humains en Asie du Sud-Est.
L’œil d’Intrinsec :
Le cas de Vipgorish Viper démontre bien les liens entre la cybercriminalité et les crimes physiques comme la traite des êtres humains. L’Asie du Sud est l’une des régions du monde les plus touchées par la traite d’êtres humains et plus spécifiquement la Birmanie. De nombreux individus sont tombés sous la coupe des gangs qui florissent dans la région. Ces derniers, attirés par des offres d’emplois factices sont ensuite contraints de jouer les arnaqueurs en ligne pour acheter leur liberté, ce qui a des répercussions sur les ressortissants chinois.
Ce dossier intérieur crispe les relations avec la junte militaire qui peine à répondre aux appels insistants de Pékin à agir contre cette menace à sa frontière et qui voit cette région gangrénée par la mafia qui se développe à la faveur du chaos politique. En réponse, Pékin a décidé de sévir contre ces mafias criminelles qui gagnent du terrain. En raison des impacts économiques et humains, la Chine a ainsi intensifié ses efforts ces dernières années pour éradiquer les jeux d’argent illégaux, procédant à l’arrestation d’opérateurs, d’agents et de parieurs.
En 2019, le gouvernement de la République populaire de Chine a notamment lancé l’opération « Chain Break » ciblant les entités situées en dehors de la Chine continentale et renforçant les sanctions pénales contre ses citoyens concernant les jeux d’argents.
Cette newsletter est émise par notre cellule de Threat Intelligence : le service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.