Dans un avis publié aujourd’hui, l’agence fédérale de renseignement allemande (BfV) et le Service national de renseignement sud-coréen (NIS) mettent en garde contre une opération de cyberespionnage en cours visant le secteur mondial de la défense au nom du gouvernement nord-coréen.
Les attaques visent à voler des informations technologiques militaires avancées et à aider la Corée du Nord à moderniser ses armes conventionnelles ainsi qu’à développer de nouvelles capacités militaires.
L’avis conjoint de cybersécurité d’aujourd’hui (également disponible en coréen et en allemand) met en évidence deux cas attribués à des acteurs nord-coréens, dont le groupe Lazarus, pour fournir les tactiques, techniques et procédures (TTP) utilisées par les attaquants.
Attaque de la chaîne d’approvisionnement
Selon l’avis, le premier cas fait référence à un incident survenu fin 2022, lorsqu’un « cyberacteur nord-coréen a pénétré dans les systèmes d’un centre de recherche sur les technologies maritimes et maritimes » et « a exécuté une attaque de la chaîne d’approvisionnement » en compromettant l’entreprise qui gérait les opérations de maintenance du serveur Web de l’organisation cible
L’intrus a suivi une chaîne d’attaque qui comprenait le vol d’informations d’identification SSH, l’abus d’outils légitimes, le déplacement latéral sur le réseau et la tentative de rester caché sur l’infrastructure.
Plus précisément, l’avis énumère les étapes d’attaque suivantes:
- A violé la société de maintenance du serveur Web, volé les informations d’identification SSH et accédé au serveur Web Linux du centre de recherche.
- Fichiers malveillants téléchargés (outil de tunneling, script Python Base64) à l’aide d’outils légitimes tels que curl, récupérés à partir des serveurs de commande et de contrôle (C2).
- Mouvement latéral effectué: établi SSH vers d’autres serveurs, utilisé tcpdump pour la collecte de paquets et volé les informations d’identification du compte des employés.
- Usurpé l’identité d’un responsable de la sécurité à l’aide d’informations de compte volées et tenté de distribuer un fichier de correctif malveillant via PMS, mais a été bloqué par le véritable responsable.
- A persisté en exploitant la vulnérabilité de téléchargement de fichiers du site Web, en téléchargeant un shell Web et en envoyant des courriels de harponnage.
En compromettant d’abord le fournisseur de services informatiques, l’acteur de la menace nord-coréen a pu infiltrer une organisation qui maintient une bonne posture de sécurité, profitant de la relation entre les deux pour mener des attaques secrètes par petites étapes prudentes.
Le bulletin suggère plusieurs mesures de sécurité contre ces attaques, notamment la limitation de l’accès des fournisseurs de services informatiques aux systèmes nécessaires à la maintenance à distance, la surveillance étroite des journaux d’accès pour détecter les événements d’accès non autorisés, l’utilisation de l’authentification multifacteur (MFA) sur tous les comptes et l’adoption de politiques strictes d’authentification des utilisateurs pour le système de gestion des correctifs (PMS).
Ingénierie sociale
Le deuxième exemple montre que « l’opération Dream Job » du groupe Lazarus, une tactique que les acteurs nord-coréens sont connus pour utiliser contre les employés des entreprises de crypto-monnaie et les développeurs de logiciels, a également été utilisée contre le secteur de la défense.
ESET a mis en évidence un incident similaire en septembre 2023, où Lazarus a ciblé un employé d’une entreprise aérospatiale en Espagne pour infecter les systèmes avec la porte dérobée « LightlessCan ».
Le bulletin de sécurité met en évidence un cas où Lazarus crée un compte sur un portail d’emploi en ligne en utilisant des données personnelles fausses ou volées d’une personne existante et les organise au fil du temps afin qu’il soit mis en réseau avec les bonnes personnes pour les objectifs d’ingénierie sociale de la campagne.
Ensuite, l’auteur de la menace utilise ce compte pour approcher les personnes travaillant pour des organisations de défense et se connecte avec elles pour entamer une conversation en anglais, établissant lentement une connexion sur plusieurs jours, semaines, voire mois.
Après avoir gagné la confiance de la victime, l’auteur de la menace lui propose un emploi et suggère un canal de communication externe où il peut partager un fichier PDF malveillant décrit comme un document contenant des détails sur l’offre.
Ce fichier est généralement un lanceur de première étape qui dépose des logiciels malveillants sur l’ordinateur de la cible, que Lazarus utilise ensuite comme point d’ancrage initial pour se déplacer dans le réseau de l’entreprise.
Dans certains cas, Lazarus envoie un fichier ZIP contenant un client VPN malveillant, qu’ils utilisent pour accéder au réseau de l’employeur de la victime.
Bien qu’il s’agisse de tactiques connues, elles peuvent toujours réussir à moins que les organisations ne sensibilisent leurs employés aux dernières tendances en matière de cyberattaques.
Adopter le principe du moindre privilège et restreindre l’accès des employés uniquement aux systèmes dont ils ont besoin devrait être le début d’une bonne posture de sécurité.
L’ajout de mécanismes et de procédures d’authentification forts pour le système de gestion des correctifs et la tenue de journaux d’audit incluant l’accès des utilisateurs devraient améliorer la position de sécurité.
Pour les attaques d’ingénierie sociale, les deux agences recommandent de former les employés aux tactiques communes.