[ad_1]

Il ne se passe pas une semaine sans que des nouvelles d’une attaque de cyberespionnage émanant de la Chine se concentrent sur l’extraction de données sensibles d’entreprises et de centres de recherche aux États-Unis. Mais l’analyse d’une récente campagne de logiciels malveillants suggère que les cyberespions de cette région pourraient être tout aussi intéressés à siphonner les secrets des cibles russes.

Le texte cyrillique utilisé dans le document leurre.

Chercheurs à Milpitas, société de sécurité basée en Californie FireEye disent avoir repéré une attaque par e-mail d’origine chinoise apparente qui utilisait des leurres en langue russe pour voler des données à des victimes principalement russes. La campagne de logiciels malveillants par e-mail intégrait un Exploit Microsoft Word qui affichait un document leurre contenant des nouvelles d’une réunion de l’ASEAN, le Association des Nations de l’Asie du Sud-Est.

D’après FireEye Alex Lanstein, cette campagne avait son infrastructure de contrôle en Corée et au Japon, mais des indices indiquent une conception et un fonctionnement chinois. L’exemple de document Word malveillant qui a lancé cette opération a été créé à partir d’un système Microsoft Windows configuré pour utiliser le pack de langue « Windows Simplified Chinese (RPC, Singapour). Les chercheurs disent également qu’ils ont pu accéder au serveur de contrôle utilisé dans l’attaque, qui a révélé des systèmes se connectant depuis la Chine pour vérifier les nouvelles victimes.

Mise à jour, 13 h 05 HE : FireEye vient de publier un article de blog à propos de cette recherche, ce qui indique qu’ils pensent maintenant que la source probable de cette attaque était la Corée, et non la Chine. Le titre de cette histoire a été modifié..

Les attaquants responsables de cette campagne n’ont apparemment pas fait grand-chose pour obscurcir le « site de dépôt » où les mots de passe et autres données volés aux machines des victimes étaient déposés ; FireEye a découvert que les informations volées ont été envoyées à un babillard public qui ne nécessite pas d’authentification. Lanstein a déclaré que la société travaillait toujours pour déchiffrer les données volées, mais que la majorité des PC victimes remontaient à des adresses Internet en Russie et incluaient le SuperComputer Center de l’Académie des sciences de Russieainsi que d’autres établissements de recherche et d’enseignement russes (PDF).

« Cette affaire était intéressante car il s’agit de cyber-trucs offensifs qui ne semblent pas inclure les États-Unis », a déclaré Lanstein. « C’est aussi intéressant parce que les attaquants n’ont pas utilisé de méthodes très sophistiquées, mais ils ont réussi à compromettre certaines cibles de premier plan tout en se cachant à la vue de tous. Cela ne leur a rien coûté et cela montre que vous n’avez pas besoin d’utiliser les derniers outils pour développer votre propre réseau d’espionnage.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *