Les cyber-attaquants et les criminels redoublent d’efforts pour s’attaquer aux entreprises ciblées, et dans quoi se trouve être une nouvelle tendance, ciblent la communauté de la cybersécurité afin de voler des outils de vulnérabilité clés pour mener des cyber-violations plus invasives. La dernière instance de ceci, a signalé par Adam Weidemann, du groupe d’analyse des menaces de Google (TAG), est un célèbre groupe de cybercriminalité soutenu par l’État nord-coréen, qui a maintenant mis en place un front appelé SecuriElite et cherche maintenant à encercler les victimes du chercheur en cybersécurité communauté elle-même. La tactique prend une nouvelle note offensive en ciblant la communauté qui travaille pour défendre les entreprises et les consommateurs contre les cyber-violations, volant ainsi les outils racine utilisés pour se défendre contre les divers cyberattaques que ces acteurs de la menace utilisent.
En quoi tactique d’ingénierie sociale connue, le groupe de menaces persistantes avancées (APT) a été signalé par Google TAG en janvier pour cibler spécifiquement une ligue de cybersécurité . L’attaque coordonnée a vu l’APT nord-coréen mis en place plusieurs profils Twitter et LinkedIn et se livrer à des rapports sur divers exploits de cybersécurité. Les vidéos et les blogs publiés par ces comptes signalaient initialement des vulnérabilités apparemment légitimes, mais une inspection plus approfondie avait révélé que les attaques étaient déjà signalées par les organisations de sécurité et également corrigées par les majors de la technologie. Cependant, dans le but d’établir la confiance dans la communauté de la sécurité, les attaquants ont fabriqué des preuves conceptuelles fonctionnelles de ces vulnérabilités.
Cette décision n’est pas totalement sans précédent-dans la tristement célèbre faille de données SolarWinds, les pirates informatiques russes ont trop ciblé les chercheurs américains en cybersécurité et les premiers intervenants. Les acteurs de la menace avaient identifié une liste de personnalités notables de la communauté de la cybersécurité, dans un mouvement d’espionnage cyber-politique, pour suivre ce vers quoi le département américain de la sécurité intérieure pourrait se tourner, afin de protéger leurs systèmes contre toute violation. Comme Chris Cummiskey, le sous-secrétaire à la sécurité intérieure avait a dit à CNN:”Cela montre un niveau de sophistication en termes de ciblage de ceux qui travaillent activement pour empêcher les attaques de se produire ou de s’étendre. Le niveau de sophistication est problématique car ils s’attaquent en fait à des personnes qu’ils considèrent comme plus précieuses. »
Maintenant, dans une nouvelle mise à jour de cette ingénierie sociale et Spear phishing attaque frénésie, le même groupe de cyber-attaquants a maintenant créé une firme de test de sécurité et de pénétration frauduleuse, SecuriElite. Pour la communauté des chercheurs en sécurité, ces attaquants publient leurs travaux en synchronisation avec SecuriElite, invitant des chercheurs légitimes engagés avec des organisations de cybersécurité de premier plan à collaborer sur divers tests de vulnérabilité et à exploiter des projets de découverte. Les attaquants partageraient ensuite un projet Visual Studio avec les chercheurs, qui à leur tour téléchargeaient une porte dérobée nommée FallChill (ou Manuscrypt) sur les appareils des chercheurs. La porte dérobée FallChill est un outil d’exécution de code à distance (RCE) reconnu qui a été déployé par le célèbre groupe Lazarus de Corée du Nord.
“Les chercheurs en sécurité ont réussi à identifier ces acteurs à l’aide d’un Internet Explorer 0-day. Sur la base de leur activité, nous continuons de croire que ces acteurs sont dangereux et ont probablement plus de 0 jours. Nous encourageons quiconque découvre une vulnérabilité Chrome à signaler cette activité via le processus de soumission du programme Chrome Vulnerabilities Rewards », a écrit Weidemann dans son rapport sur la tactique de menace APT en Corée, plus tôt ce mois-ci.
Ce qui est inquiétant ici, c’est que les attaquants cherchent à tirer sur les outils clés que les organisations de recherche en cybersécurité utilisent pour se défendre contre les failles de sécurité majeures et les failles zero-day récemment corrigées. Les outils susceptibles d’être volés comprennent une infrastructure de cyber-évaluation, des pots de miel de test de pénétration et exploitent également des moniteurs pour les principaux systèmes grand public. Voler de tels outils peut aider les attaquants à annuler les systèmes de sécurité à partir de zéro, créant ainsi des exploits encore plus robustes qui peuvent non seulement tromper les systèmes de sécurité, mais également ajouter des couches difficiles à enfreindre, même pour les organisations de sécurité. Une liste complète des comptes liés au nouveau déménagement est disponible dans l’article Google TAG de Weidemann, ici.
