sharpshooter

La Cyberattaque “Sharpshooter” liée à la Corée du Nord

Des chercheurs en sécurité ont finalement, avec “grande confiance”, fait le lien entre l’Operation Sharpshooter, une campagne de cyberespionnage globale qui ciblait les infrastructures critiques, et la Corée du Nord.

Tout cela grâce à de nouvelles preuves collectés par des chercheurs après avoir analysé un serveur command-and-control (C2) impliqué dans la campagne d’espionnage et saisi par les autorités.

Surnommé Operation Sharpshooter, la campagne de cyber espionnage ciblait les gouvernements, leurs défenses, leurs projets nucléaires, leur énergie et des organisations financières dans le monde entier. La campagne a été découverte en Décembre 2018 par les chercheurs en sécurité de McAfee. Même après avoir analysé plusieurs liens pointant vers le groupe de hacker Lazarus, les chercheurs n’étaient pas sûrs à 100% que l’attaque venait de la Corée du Nord.

Les chercheurs ont analysé le serveur de commande de Sharpshooter

Maintenant, selon un communiqué de presse, une analyse récente du code saisi et du serveur command-and-control (C2) ont permis aux chercheurs de comprendre les rouages de cette campagne de cyber espionnage. Ils ont ainsi pu conclure qu’un groupe de hacking sponsorisé par la Corée du Nord était derrière l’Operation Sharpshooter.

Le Groupe Lazarus, aussi connu sous le nom de Hidden Cobra et Guardians of Peace, est suspecté de travailler pour le gouvernement Nord Coréen et d’avoir aussi été derrière l’attaque WannaCry en 2017, le piratage de SWIFT en 2016 ainsi que le piratage de Sony Pictures en 2014.

L’analyse révèle aussi que la campagne d’espionnage globale a commencé en Septembre 2017.

Alors que les précédentes attaques ciblaient les télécommunications, les gouvernements et les secteurs financiers, les nouvelles preuves suggèrent que Sharpshooter s’attaque aussi aux infrastructures critiques. Les récentes attaques ciblaient l’Allemagne, la Turquie, les Etats-Unis et le Royaume-Uni.

Opération Sharpshooter: Campagne de Cyber Espionnage Global

La campagne se répand via Dropbox en envoyant des documents malveillants contenant des macros aux cibles. Une fois ouverte et téléchargé, la macro utilise un script shell intégré pour injecter le téléchargeur de Sharpshooter dans la mémoire de Microsoft Word.

sharpshooter

Pour aller plus loin, ce code dans la mémoire télécharge le malware Rising Sun, qui utilise du code source de la porte dérobée Trojan Duuzer du Groupe Lazarus. Le malware avait été découvert pour la première fois en 2015 alors qu’il ciblait des organisations de Corée du Sud.

Le malware Rising Sun fait ensuite une reconnaissance sur le réseau de la victime en récoltant et en chiffrant des données, y compris le nom du PC, l’adresse IP, les informations systèmes etc…

“L’accès au code du serveur command-and-control de l’adversaire est une opportunité rare. Ces systèmes permettent de comprendre le fonctionnement interne de l’infrastructure d’une cyber attaque. D’habitude ils sont saisis par les autorités et sont rarement mis à disposition des chercheurs du secteur privé,” a déclaré Christiaan Beek, ingénieur chez McAfee.

“Les éléments obtenus grâce à l’accès à ce code sont indispensables quand on essaye de comprendre et de combattre les campagnes de cyber attaque sophistiquées que l’on peut voir de nos jours.”

De plus, l’analyse du serveur C2 server et le fichier de logs ont révélé une connexion Africaine. Les chercheurs sont tombés sur des adresses IP liées à la Namibie.

“Cela a mené les analystes de McAfee à suspecter que les acteurs derrière Sharpshooter ont surement fait quelques tests dans cette partie du monde avant de lancer leur campagne d’attaques,” ont expliqué les chercheurs.

L’infrastructure C2 utilisée fait partie des opérations de Lazarus de puis 2017. Cette infrastructure a un core backend écrit en Hypertext Preprocessor (PHP) et Active Server Pages (ASP), qui “semblerait être unique au groupe”.

Laisser un commentaire