Le Centre national de cybersécurité de Corée du Sud (NCSC) avertit que des pirates informatiques soutenus par l’État de la RPDC ont détourné des failles dans la mise à jour logicielle d’un VPN pour déployer des logiciels malveillants et violer les réseaux.
L’avis relie cette activité à un projet national de modernisation des usines industrielles Kim Jong-un, le président nord-coréen, a annoncé en janvier 2023, estimant que les pirates informatiques cherchaient à voler des secrets commerciaux à la Corée du Sud.
Les deux groupes de menaces impliqués dans cette activité sont Kimsuky (APT43) et Andariel (APT45), des acteurs parrainés par l’État précédemment liés au tristement célèbre groupe Lazarus.
« La Communauté de l’information attribue ces activités de piratage aux organisations de piratage Kimsuky et Andariel relevant du Bureau général de reconnaissance nord-coréen, notant le caractère sans précédent des deux organisations ciblant simultanément le même secteur pour des objectifs politiques spécifiques », prévient le NCSC.
Mises à jour et installateurs de chevaux de Troie
Dans le premier cas mis en évidence dans l’avis, daté de janvier 2024, Kimsuky a compromis le site Web d’une organisation professionnelle de la construction sud-coréenne pour diffuser des logiciels malveillants aux visiteurs.
Selon un rapport publié en février par l’ASEC, lorsque les employés tentaient de se connecter au site Web de l’organisation, ils étaient invités à installer le logiciel de sécurité requis appelé « NX_PRNMAN » ou « TrustPKI ». »
Ces installateurs de chevaux de Troie ont été signés numériquement avec un certificat valide de la société de défense coréenne « D2Innovation », contournant efficacement les contrôles antivirus.
Lorsque le logiciel cheval de Troie a été installé, le logiciel malveillant a également été déployé pour capturer des captures d’écran, voler des données stockées dans les navigateurs (informations d’identification, cookies, signets, historique) et voler des certificats GPKI, des clés SSH, des notes autocollantes et des données FileZilla.
Cette campagne a infecté les systèmes des entreprises de construction sud-coréennes, des institutions publiques et des gouvernements locaux.
Le deuxième cas s’est produit en avril 2024, lorsque le NCSC a déclaré que les acteurs de la menace Andariel avaient exploité une vulnérabilité dans le protocole de communication d’un logiciel VPN domestique pour diffuser de fausses mises à jour logicielles qui installent le logiciel malveillant DoraRAT.
« En avril 2024, le groupe de piratage Andariel a exploité les vulnérabilités des logiciels de sécurité domestique (VPN et sécurité des serveurs) pour remplacer les fichiers de mise à jour par des logiciels malveillants, distribuant des logiciels malveillants de contrôle à distance nommés « DoraRAT » aux entreprises de construction et de machines », explique une version traduite automatiquement de l’avis NCSC.
Le NCSC affirme que la vulnérabilité a permis aux auteurs de la menace d’usurper des paquets sur les ordinateurs des utilisateurs, ce qui les a identifiés à tort comme des mises à jour légitimes du serveur, permettant ainsi l’installation de versions malveillantes.
DoraRAT est un cheval de Troie d’accès à distance léger (RAT) avec des fonctionnalités minimales qui lui permettent de fonctionner plus furtivement.
La variante observée dans l’attaque particulière a été configurée pour voler des fichiers volumineux, tels que des documents de conception de machines et d’équipements, et les exfiltrer vers le serveur de commande et de contrôle de l’attaquant.
Le NCSC a déclaré que les opérateurs de sites Web risquant d’être ciblés par des pirates Informatiques parrainés par l’État devraient demander des inspections de sécurité à l’Agence coréenne Internet & Security (KISA).
De plus, il est recommandé que des politiques strictes d’approbation de la distribution des logiciels soient mises en œuvre et que l’authentification de l’administrateur soit requise pour l’étape finale de la distribution.
D’autres conseils génériques comprennent des mises à jour opportunes des logiciels et du système d’exploitation, une formation continue sur la sécurité des employés et la surveillance des avis de cybersécurité du gouvernement pour identifier et arrêter rapidement les menaces émergentes.