© Google
© Google

Le Google Threat Analysis Group a identifié une campagne menée depuis plusieurs mois par des pirates nord-coréens. Il s'agit d'un « nouveau mode d'attaque d'ingénierie sociale », selon le billet posté par Google.

Les pirates se font eux-mêmes passer pour des chercheurs en cybersécurité. In fine, le but de ces techniques est de gagner la confiance des groupes de chercheurs visés pour pouvoir pirater leurs machines ou infrastructures.

Faux comptes Facebook, Twitter et faux faits d'armes

Le GTAG, le Google Threat Analysis Group, qui analyse les attaques informatiques soutenues par les gouvernements, a publié sur son blog un article à propos d'un « nouveau mode d'attaque d'ingénierie sociale ». Les
pirates informatiques seraient une « entité dépendante d'un gouvernement et installée en Corée du Nord », comme l'explique Adam Weidemann, qui dirige le GTAG.

Le modus operandi des chercheurs consiste à se construire une certaine légitimité en ligne. Avec l'aide de comptes Twitter, Discord, Telegram, LinkedIn ou Facebook, ceux-ci se font passer pour des chercheurs en
cybersécurité.

Des sites web faisant foi de leurs (faux) travaux ont également été mis en ligne. Ils publient notamment des vidéos ou écrivent des publications vantant les mérites de (fausses) découvertes de failles informatiques. Sur YouTube, au moins un cas de vidéo qui montrait un exploit simulé a été découvert.

Des backdoors installées à l'aide de liens

La GTAG explique que les attaquants contactent ensuite leurs victimes via ces mêmes réseaux sociaux, s'appuyant sur leur fausse légitimité pour leur proposer une collaboration.

Plusieurs méthodes sont alors utilisées pour installer des backdoors dans les machines des chercheurs en cybersécurité – les vrais, cette fois. Le GTAG cite l'exemple de faux projets Visual Studio qui contenaient un malware permettant aux pirates d'entrer dans le système informatique de leur victime. Le groupe d'analyse en cybersécurité de Google évoque
également des ordinateurs compromis après avoir visité les faux blogs des pirates. « Nous sommes encore incapable de confirmer le mécanisme de compromission » desdits systèmes informatiques, précise le GTAG.

Sur son article de blog, le GTAG a listé tous les comptes et noms de domaine utilisés par ces pirates jusqu'à ce jour.

Source : Engadget, Google