Une campagne nord-coréenne de piratage ciblant les chercheurs en sécurité identifiée par Google

29 janvier 2021 à 17h48
4
© Google

Le Google Threat Analysis Group a identifié une campagne menée depuis plusieurs mois par des pirates nord-coréens. Il s'agit d'un « nouveau mode d'attaque d'ingénierie sociale », selon le billet posté par Google.

Les pirates se font eux-mêmes passer pour des chercheurs en cybersécurité. In fine, le but de ces techniques est de gagner la confiance des groupes de chercheurs visés pour pouvoir pirater leurs machines ou infrastructures.

Faux comptes Facebook, Twitter et faux faits d'armes

Le GTAG, le Google Threat Analysis Group, qui analyse les attaques informatiques soutenues par les gouvernements, a publié sur son blog un article à propos d'un « nouveau mode d'attaque d'ingénierie sociale ». Les
pirates informatiques seraient une « entité dépendante d'un gouvernement et installée en Corée du Nord », comme l'explique Adam Weidemann, qui dirige le GTAG.

Le modus operandi des chercheurs consiste à se construire une certaine légitimité en ligne. Avec l'aide de comptes Twitter, Discord, Telegram, LinkedIn ou Facebook, ceux-ci se font passer pour des chercheurs en
cybersécurité.

Des sites web faisant foi de leurs (faux) travaux ont également été mis en ligne. Ils publient notamment des vidéos ou écrivent des publications vantant les mérites de (fausses) découvertes de failles informatiques. Sur YouTube, au moins un cas de vidéo qui montrait un exploit simulé a été découvert.

Des backdoors installées à l'aide de liens

La GTAG explique que les attaquants contactent ensuite leurs victimes via ces mêmes réseaux sociaux, s'appuyant sur leur fausse légitimité pour leur proposer une collaboration.

Plusieurs méthodes sont alors utilisées pour installer des backdoors dans les machines des chercheurs en cybersécurité – les vrais, cette fois. Le GTAG cite l'exemple de faux projets Visual Studio qui contenaient un malware permettant aux pirates d'entrer dans le système informatique de leur victime. Le groupe d'analyse en cybersécurité de Google évoque
également des ordinateurs compromis après avoir visité les faux blogs des pirates. « Nous sommes encore incapable de confirmer le mécanisme de compromission » desdits systèmes informatiques, précise le GTAG.

Sur son article de blog, le GTAG a listé tous les comptes et noms de domaine utilisés par ces pirates jusqu'à ce jour.

Source : Engadget, Google

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
Voir tous les messages sur le forum

Actualités récentes

Violation des données médicales : la CNIL met la pression et confirme la source de la fuite
Soldes Amazon : le TOP des promotions high-tech à saisir ce jeudi
Anthem : la refonte du jeu est officiellement annulée
Après 42, Xavier Niel lance une nouvelle école... d'agriculture, elle aussi gratuite : Hectar
Séries originales (ou non) : notre sélection des meilleures séries proposées sur Disney+
Cyberpunk 2077 : la seconde mise à jour majeure repoussée à fin mars suite à la cyberattaque
Soldes : cette caméra 360° Xiaomi Mi Home Security est au meilleur prix chez Darty
Starlink : l'ARCEP autorise le déploiement du réseau internet par satellite d'Elon Musk en France
Soldes : les promotions high-tech à ne pas manquer ce mercredi
Klipsch T5 II : des écouteurs premium à la sonorité équilibrée, enfin à maturité
Haut de page