Une campagne nord-coréenne de piratage ciblant les chercheurs en sécurité identifiée par Google

29 janvier 2021 à 17h48
4
Google © Shutterstock
© Google

Le Google Threat Analysis Group a identifié une campagne menée depuis plusieurs mois par des pirates nord-coréens. Il s'agit d'un « nouveau mode d'attaque d'ingénierie sociale », selon le billet posté par Google.

Les pirates se font eux-mêmes passer pour des chercheurs en cybersécurité. In fine, le but de ces techniques est de gagner la confiance des groupes de chercheurs visés pour pouvoir pirater leurs machines ou infrastructures.

Faux comptes Facebook, Twitter et faux faits d'armes

Le GTAG, le Google Threat Analysis Group, qui analyse les attaques informatiques soutenues par les gouvernements, a publié sur son blog un article à propos d'un « nouveau mode d'attaque d'ingénierie sociale ». Les
pirates informatiques seraient une « entité dépendante d'un gouvernement et installée en Corée du Nord », comme l'explique Adam Weidemann, qui dirige le GTAG.

Le modus operandi des chercheurs consiste à se construire une certaine légitimité en ligne. Avec l'aide de comptes Twitter , Discord , Telegram , LinkedIn ou Facebook, ceux-ci se font passer pour des chercheurs en
cybersécurité.

Des sites web faisant foi de leurs (faux) travaux ont également été mis en ligne. Ils publient notamment des vidéos ou écrivent des publications vantant les mérites de (fausses) découvertes de failles informatiques. Sur YouTube, au moins un cas de vidéo qui montrait un exploit simulé a été découvert.

Des backdoors installées à l'aide de liens

La GTAG explique que les attaquants contactent ensuite leurs victimes via ces mêmes réseaux sociaux, s'appuyant sur leur fausse légitimité pour leur proposer une collaboration.

Plusieurs méthodes sont alors utilisées pour installer des backdoors dans les machines des chercheurs en cybersécurité – les vrais, cette fois. Le GTAG cite l'exemple de faux projets Visual Studio qui contenaient un malware permettant aux pirates d'entrer dans le système informatique de leur victime. Le groupe d'analyse en cybersécurité de Google évoque
également des ordinateurs compromis après avoir visité les faux blogs des pirates. « Nous sommes encore incapable de confirmer le mécanisme de compromission » desdits systèmes informatiques, précise le GTAG.

Sur son article de blog, le GTAG a listé tous les comptes et noms de domaine utilisés par ces pirates jusqu'à ce jour.

Source : Engadget , Google

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
Voir tous les messages sur le forum

Lectures liées

PunkSpider, le moteur de recherche de vulnérabilités, refait surface
Un malware récupérant les mots de passe Windows se propage via les pubs des moteurs de recherche
Derrière une jeune femme, Marcella Flores, se cachaient des hackers affiliés à l'Iran
Bon plan antivirus : protégez votre vie numérique avec cette offre de Bitdefender à prix jamais vu !
Pourquoi Apple est-elle impuissante face à des logiciels tels que Pegasus ?
Cyberattaque : la France est dans le viseur de hackers chinois
Profitez des offres VPN à prix bradé du moment
Sauvegarde et anticipation : les clés pour se protéger des ransomwares cet été (Vidéo)
Projet Pegasus : pour Edward Snowden, il faut bannir tous les logiciels d'espionnage
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Haut de page