Threat Landscape #39
Actualités de la semaine
Chine
Inculpation d’un ressortissant chinois accusé d’avoir mené une campagne de spearphishing contre la NASA et le secteur aéronautique américain
Le 16 septembre 2024, le Département de la Justice des États-Unis (Department of Justice - DOJ) a engagé des poursuites judiciaires à l’encontre d’un citoyen chinois accusé de tentatives de cyberattaques visant diverses agences aérospatiales fédérales américaines. Ce dernier, nommé Song Wu, est explicitement désigné dans l’acte d’accusation du DOJ comme étant un ingénieur de 39 ans travaillant pour le conglomérat d’État chinois Aviation Industry Corporation of China (AVIC), spécialisé dans l’aérospatiale et la défense.
Dans son communiqué, le DOJ accuse M. Song d’avoir mené une campagne de spearphishing à l’encontre d’un large éventail d’institutions. Les cibles comprenaient des employés de la NASA, des branches militaires américaines (Air Force, Navy, Army), de la Federal Aviation Administration (FAA), ainsi que des responsables d’universités de recherche dans divers États, notamment la Géorgie, le Michigan et le Massachusetts, et des entreprises du secteur aérospatial. M.Song aurait notamment envoyé de faux emails en se faisant passer pour un proche de la victime — un parent, un ami ou un collègue de travail — en lui demandant de lui envoyer le code source ou le logiciel qu’il recherchait. Toujours selon le DOJ, ces données confidentielles, comprenant code source et logiciel spécialisé, présentaient de potentielles applications dans les domaines industriel et militaire. Leur utilisation pouvait notamment contribuer au développement de missiles tactiques de pointe, ainsi qu’à la conception et à l’évaluation aérodynamique d’armements.
Le DOJ n’a toutefois pas donné le nom du logiciel recherché et n’a pas indiqué où M.Song se trouvait actuellement. Il est accusé de 14 chefs d’accusation de fraude électronique et de 14 chefs d’accusation d’usurpation d’identité aggravée. Il risque notamment une peine statutaire maximale de 20 ans de prison pour chaque chef d’accusation de fraude électronique.
L’œil d’Intrinsec :
Il est intéressant d’observer que parallèlement à cet acte d’accusation, le DOJ a également publié un second acte d’accusation distinct à l’encontre du ressortissant chinois Jia Wei, membre de l’Armée populaire de libération (APL). Ce dernier est accusé d’avoir mené une opération d’infiltration en mars 2017 au sein d’une entreprise américaine de communication non identifiée. L’objectif présumé de cette intrusion était l’acquisition illicite de données sensibles concernant des technologies de communication à usage civil et militaire, des informations sur le développement de produits, ainsi que des protocoles d’essai.
Au cours des dernières années, plusieurs autres pays ont vu leur industrie aérospatiale être la cible de campagnes d’espionnage menées par d’autres États. Il y a un an, le FBI, le National Counter intelligence and Security Center (NCSC) et l’Air Force Office of Special Investigations (AFOSI) avaient déjà publié un avis de deux pages qui mettait en garde contre les cyberattaques visant l’industrie spatiale en raison de son importance croissante pour l’économie mondiale.
L’un des exemples les plus aboutis d’espionnage de ce type remonte à 2019 avec l’implication du mode opératoire chinois nommé Turbine Panda par Crowdstrike et soupçonné d’avoir largement accéléré le développement de l’avion chinois COMAC C919 suite à des actions de cyberespionnage.
Cybercrime
Marko Polo : Une menace cybercriminelle croissante dévoilée
Du fait de la génération de millions de dollars en revenu illicite ainsi que la compromission de dizaines de milliers de dispositifs à travers le monde, le mode opératoire d’attaque « Marko Polo » représente une menace à ne pas prendre à la légère.
Selon Recorded Future, ce MOA serait doté d’une forte capacité d’adaptation et d’agilité, lui permettant une résilience et une présence dans l’écosystème cybercriminel sur le long terme.
Recommandé par LinkedIn
Opérant principalement sur les réseaux sociaux avec plus de 30 arnaques distinctes, Marko Polo aurait aussi compromis plus de 20 versions du logiciel de réunion Zoom, des logiciels crackés et de téléchargements de torrents. Recorded Future précise qu’au moment de la rédaction de leur rapport, plusieurs de ces escroqueries étaient toujours actives, représentant une menace significative tant pour les particuliers que pour les entreprises. Bien que les cibles de Marko Polo soient généralement des entités bien informées en matière de cybersécurité, il est néanmoins souligné la rentabilité considérable des activités malveillantes du MOA.
Pour arriver à ses fins, Marko Polo emploie des techniques avancées et sophistiquées ayant permis d’utiliser plus de 50 charges utiles uniques de codes malveillants, dont HijackLoader, Stealc, Rhadamanthys et Atomic macOS Stealer (AMOS), mais aussi de se faire passer pour des marques légitimes dans le domaine des jeux en ligne, des logiciels de réunion virtuelle et de productivité, et des cryptomonnaies.
L’œil d’Intrinsec
Malgré les nombreux exemples illustrant les difficultés financières auxquelles sont parfois confrontés les cybercriminels, notamment avec des affiliés d’opérateurs de ransomware comme LockBit ou DarkSide n’étant pas payés à la suite d’une fermeture des opérations ou d’un départ soudain des opérateurs, Marko Polo prouve que ces activités peuvent encore être très lucratives.
Cependant, pour assurer stabilité et durabilité dans un écosystème cybercriminel hautement compétitif, soumis à une surveillance accrue des autorités, des stratégies plus sophistiquées et élaborées comme la modification fréquente de l’infrastructure et la multiplication des plateformes ciblées pourraient servir de modèle pour d’autres acteurs malveillants. Reste à déterminer si le coût d’entrée pour ce type d’opérations de grande envergure sera accessible au plus grand nombre.
En savoir plus ici.
Iran
UNC1860 : fournisseur d’accès initial pour des modes opératoires iraniens
Le mode opératoire UNC1860, sponsorisé par l’État iranien, se distingue d’après Mandiant par son rôle d’intermédiaire pour d’autres acteurs iraniens, fournissant un accès initial aux réseaux compromis d’organisations stratégiques au Moyen-Orient. Principalement affilié au ministère iranien du Renseignement et de la Sécurité (MOIS), UNC1860 ciblerait les secteurs gouvernementaux et des télécommunications. Le mode opératoire utilise des outils spécialisés comme des backdoors et des webshells passives telles que TEMPLEPLAY et VIROGREEN. Faciles d’utilisation via une interface graphique, ces outils pourraient être partagés à d’autres acteurs, Mandiant ayant observé la réutilisation d’un outil d’UNC1860 par APT34 (un autre mode opératoire iranien ciblant principalement des organisations gouvernementales).
Ces capacités seraient utilisées pour maintenir une présence persistante dans les réseaux compromis, servant potentiellement d’étape préalable à des cyberattaques plus destructrices, telles que BABYWIPER contre Israël en octobre 2023 ou ROADSWEEP contre l’Albanie en 2022.
L’œil d’Intrinsec :
La segmentation des activités au sein d’une kill-chain est un phénomène que nous observons aussi bien au sein de l’écosystème cybercriminel, que parmi les modes opératoires étatiques. Suivant ce modèle, les acteurs vont naturellement se spécialiser dans une ou quelques activités et faire appel à l’expertise d’acteurs ayant d’autres spécialités, impliqués dans différentes étapes de la kill-chain. Ainsi, un acteur cybercriminel cherchant à déployer en masse un stealer, peut faire appel à un service d’installs (compromissions réalisées au préalable par des opérateurs de loader) ; les opérateurs de ransomware peuvent acheter des accès d’entreprises à haute valeur à des courtiers en accès initiaux.
Cette méthodologie permet aux acteurs impliqués dans une compromission d’utiliser au mieux leurs capacités, ces derniers s’étant spécialisés au préalable, comme exposé dans l’article de Mandiant sur UNC1860, spécialisé dans le partage d’accès initiaux. La découverte de Mandiant n’apparaît alors pas comme une surprise, mais s’inscrit dans un phénomène global d’évolution continuel des cybermenaces, l’Iran suivant le modèle déjà existant dans les sphères cybercriminelles et étatiques de pays plus avancés. Par exemple, selon un récent rapport de la CISA, des acteurs malveillants associés à l’unité 29155 du GRU russe auraient exploité le malware Raspberry Robin comme vecteur d’accès initial dans leurs opérations.
Cette newsletter est émise par notre cellule de Threat Intelligence : le service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.