Olympic Destroyer est de retour et vise les entités qui luttent pour la protection chimique et biologique en Europe
Publié le 20/06/2018 Dans Press Releases  Par zion
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 20 juin 2018 – Les chercheurs de Kaspersky Lab à l’affût de la fameuse menace Olympic Destroyer qui a frappé l’ouverture des jeux olympiques d’hiver de Pyeongchang à l’aide d’un ver destructeur de réseau ont découvert que le groupe de hackers à son origine est toujours actif. Il semblerait viser l’Allemagne, la France, la Suisse, les Pays-Bas, l’Ukraine et la Russie, en se concentrant sur les organisations impliquées dans la protection contre les menaces chimiques et biologiques.

Olympic Destroyer est une menace avancée qui frappe les organisateurs, les fournisseurs et les partenaires des jeux Olympiques d’hiver de 2018 à Pyeongchang, en Corée du Sud, à travers une opération de cyber sabotage reposant sur un ver informatique destructeur de réseau. De nombreux indicateurs ont pointé dans différentes directions concernant l’origine de l’attaque, ce qui a semé la confusion dans l’industrie des informations de sécurité en février 2018. Quelques rares indices sophistiqués mis au jour par Kaspersky Lab ont laissé penser que le groupe Lazarus, un acteur lié à la Corée du Nord dans le domaine de la menace, se cachait derrière cette opération. Toutefois, au mois de mars, la société a confirmé que cette campagne représentait une opération de diversion élaborée et convaincante, dont il est peu probable que Lazarus soit la source. Les chercheurs viennent de découvrir que l’opération Olympic Destroyer a été réactivée et repose en partie sur les mêmes stratégies d’infiltration et de reconnaissance en se concentrant sur des cibles situées en Europe.

Cet acteur malveillant agit en hameçonnant des documents qui ressemblent fort aux documents ciblés ayant servi à la préparation de l’opération des jeux Olympiques d’hiver. L’un de ces documents leurres faisait référence à la ‘Spiez Convergence’, une conférence sur les menaces biochimiques qui s’est tenue en Suisse et qui était organisée par le laboratoire Spiez, une organisation ayant joué un rôle-clé dans l’enquête sur l’attaque Salisbury. Un autre document ciblait une entité de l’autorité ukrainienne de contrôle de la santé humaine et animale. Certains documents servant au hameçonnage découverts par les chercheurs contiennent des mots en Russe et en Allemand.

Toutes les charges malveillantes finales extraites des documents malveillants étaient conçues pour fournir un accès général aux ordinateurs infectés. Un framework libre et open source, largement connu sous le nom de Powershell Empire, a servi pour la deuxième phase de l’attaque.

Les assaillants semblent utiliser des serveurs web légitimes compromis pour héberger et contrôler le programme malveillant. Ces serveurs utilisent un système open source de gestion de contenu (CMS) populaire dénommé Joomla. Les chercheurs ont découvert que l’un des serveurs hébergeant la charge malveillante utilisait une version de Joomla (v1.7.3) publiée en novembre 2011, ce qui semble suggérer qu’une variante très ancienne de CMS pourrait avoir été utilisée par les assaillants pour hacker les serveurs.

Sur la base de la télémétrie et des fichiers de Kaspersky Lab utilisés par des services multi scanneur, les intérêts de cette campagne de Olympic Destroyer semblent se concentrer sur des entités situées en Allemagne, en France, en Suisse, aux Pays-Bas, en Ukraine et en Russie.

Vitaly Kamluk, chercheur dans le domaine de la sécurité de l’équipe Kaspersky Lab’s GReAT a déclaré : “L’apparition, au début de cette année, de Olympic Destroyer avec ses efforts de tromperie sophistiqués, a changé la donne pour toujours et démontré combien il est aisé de commettre une erreur lorsque seulement des fragments du tableau sont révélés aux chercheurs. L’analyse et la dissuasion de ces menaces devraient reposer sur la coopération entre le secteur privé et les gouvernements, au delà des frontières nationales. Nous espérons qu’en partageant publiquement nos conclusions, les personnes chargées de répondre à une telle situation et les chercheurs dans le domaine de la sécurité seront mieux outillés à l’avenir pour reconnaître et atténuer une telle attaque à toutes les phases.”

Lors de l’attaque précédente, au cours des jeux Olympiques d’hiver, le début de la phase de reconnaissance s’est situé deux mois avant l’épidémie du ver destructeur de réseau capable de se modifier. Il est bien possible que Olympic Destroyer prépare une attaque identique avec des motivations nouvelles. Voilà pourquoi nous conseillons aux entités qui traitent de la recherche dans le domaine de la menace biologique et chimique de maintenir un niveau d’alerte élevée et de lancer un audit de sécurité non programmé si possible.

Les produits Kaspersky Lab sont parvenus à déceler et bloquer efficacement le programme malveillant lié à Olympic Destroyer.

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Publicité
Informaticien.be  - © 2002-2018 Akretio SPRL  - Generated via Kelare - Hosted by Verixi Internet Services
The Akretio Network: Akretio  - Freedelity  - KelCommerce  - Votre publicité sur informaticien.be ?