Cybersécurité : plusieurs ambassades européennes auraient été victimes de pirates russes

24 avril 2019 à 09h45
2
cybercrime

La société Check Point Research, spécialiste des questions de cybersécurité, publie un rapport indiquant que des hackers russes sont parvenus à prendre le contrôle d'ordinateurs situés dans des ambassades de pays européens.

Pour mener leurs attaques, les pirates ont utilisé la bonne vieille méthode du phishing. Comme le rapporte The Verge, en se basant sur un rapport publié par la société spécialisée Check Point Research, les hackers ont attaqué plusieurs ambassades européennes situées un peu partout dans le monde en insérant des pièces jointes malveillantes dans des courriers électroniques savamment déguisés en documents officiels confidentiels.

Les pirates ont utilisé le logiciel TeamViewer pour accéder aux ordinateurs

Une fois ouvertes, les pièces-jointes donnaient l'accès aux ordinateurs visés grâce à TeamViewer, un logiciel bien connu qui permet de connecter à distance des appareils, facilitant ainsi le transfert de fichiers. Les pièces prenaient la forme de fichiers Excel.

Selon la société Check Point, les pirates ont ciblé des ambassades européennes situées en Guyane, au Népal, au Kenya, en Italie, aux Bermudes, au Liban ou encore au Liberia, sans toutefois garantir que les motivations des hackers étaient d'ordre politique.

Une motivation plus financière que politique ?

Si Check Point a pu flairer la piste d'un pirate russophone, la faute à un manque de prudence de certains commanditaires des attaques, rien ne prouve l'intervention d'un gouvernement. « Ils n'ont pas visé une région spécifique, et les victimes viennent de différents endroits du globe », soutient la firme.

En réalité, les cybercriminels semblent avoir été animés par des motivations financières. Des dirigeants financiers gouvernementaux ont été touchés par les attaques : « Ils semblent tous être des fonctionnaires sélectionnés appartenant à différentes autorités fiscales », précise le rapport de la société spécialisée.

CheckPoint a également détecté d'autres vagues d'attaques identiques, touchant cette fois des acteurs russophones.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
0
PierreKaiL
Etrange cette nouvelle, il y a quand même plus discret que team viewer pour la prise de contrôle à distance… je serai curieux de voir quel script peut donner ces autorisations, cela voudrait dire aussi que team viewer aurait une grosse faille… il doit manquer pas mal de précision à la source… Et comme d’habitude aucun pare-feu utilisé sinon bye bye la prise de contrôle… Mouai…
Mickooz
@PierreKail: Je ne suis pas d’accord avec toi. Tu dis que teamviewer aurait une grosse faille, mais en quoi? C’est ni plus ni moins qu’un RAT donc son taff c’est de permettre la prise de controle à distance. De plus, concernant le pare-feu, l’avantage de teamviewer c’est que tu fais du “reverse connection”, donc bye bye la majorité des pare-feu. Un FW va te bloquer des flux entrant, mais laissent la plupart du temps les flux sortants passer. Teamviewer se lance, il sors de la machine pour aller en ligne dire “Hello, qui veut se connecter? voilà l’ID”, puis tu te connecte, mais comme la connexion est initiée par la machine dont tu prends le controle, le parefeu va te laisser passer, tu vois ce que je veux dire?
PierreKaiL
@Mickooz<br /> Pour se connecter sur une machine distante avec teamviewer il faut un mot de passe que la personne distante doit donner, si un script peut passer outre alors il y a faille, pour la réaction du pare-feu, celui ci réagit même en boucle local pour bon nombre de programmes n’ayant pas besoin d’aller sur le net donc je ne vois pas en quoi l’action de teamviewer ne ferait pas réagir le pare-feu. Pour le rat, si c’est le cas alors pourquoi utiliser en plus teamviewer ? l’article ne parlant que de celui ci, d’où mon étonnement.<br /> PS: je parle d’un pare feu bien réglé biensur, sans aucun mode automatique activé et avec filtrage sur boucle locale
Mickooz
Ce que je veux dire c’est que la plupart des FW sont configurés pour filtrer uniquement si l’initialisation de la session viens de l’extérieur, or, avec TeamViewer c’est lui qui sort. Contrairement à RDS ou VNC par exemple où c’est celui qui veut se connecter à la machine qui initie la connexion (on peut alors filtrer par IP etc.). Par exemple il y a quelques années je me suis connecté à l’ordi de qqun à l’Assemblée nationale (sur sa demande évidemment), merci TeamViewer ^^<br /> Donc au final, par pitié quand vous êtes sysadmin laissez tomber TeamViewer, sa simplicité de mise en œuvre ne vaut pas le coup face aux risques de sécurité encourus.
Voir tous les messages sur le forum

Actualités du moment

Les bots malveillants représentent plus de 20% du trafic web
Oppo : Suivez avec nous et en direct l’annonce et le lancement du nouveau flagship, Reno !
🎯 French Days 2019 : les meilleures offres, promos et réductions chaque jour !
⚡ Bon plan : Pack PS4 500 Go Noire + The Last of Us Remastered à 299,99€
Ouch ! La TV 8K haut de gamme de Sony coûtera pas moins de 70 000$
Les Brave Rewards débarquent officiellement sur Android
Des employés de Microsoft appellent à soutenir la révolte de travailleurs chinois sur GitHub
Tesla dévoile son nouvel ordinateur de bord pour véhicule autonome
Malgré les tumultes, Huawei a vu son chiffre d'affaires bondir au premier trimestre 2019
Haut de page