Révélation de Techniques de Cyberespionnage Avancées
L'équipe mondiale de recherche et d'analyse de Kaspersky (GReAT) et l'équipe d'intervention d'urgence en cas de cyberattaques sur les systèmes de contrôle industriel (ICS CERT) ont révélé d'importantes évolutions dans les opérations de cyberespionnage visant les entreprises industrielles d'Europe de l'Est en utilisant l'ensemble d'outils MATA mis à jour. Des mois d'enquête ont mis en lumière des techniques d'attaque sophistiquées, des capacités améliorées de logiciels malveillants mis à jour et une nouvelle chaîne d'infection.
Au début de septembre 2022, de nouveaux échantillons de logiciels malveillants liés à l'ensemble d'outils MATA, précédemment associé au groupe Lazarus, ont été découverts. Cette campagne qui visait plus d'une douzaine d'entreprises d'Europe de l'Est s'est déroulée de la mi-août 2022 à mai 2023. Les attaquants ont utilisé des e-mails de spear-phishing exploitant la vulnérabilité CVE-2021-26411 pour télécharger des logiciels malveillants exécutables pour Windows via les navigateurs web.
La chaîne d'infection MATA avait une structure complexe intégrant un installeur, un cheval de Troie principal, un voleur d'identité avec rootkit et des processus d'authentification sensibles. Les adresses IP internes utilisées en tant que serveurs de commande et de contrôle (C&C) ont révélé une découverte majeure : les attaquants avaient intégré leurs propres systèmes de contrôle et d'intrusion dans l'infrastructure des victimes. Kaspersky a immédiatement averti les organisations concernées, permettant une réaction rapide.
L'attaque, lancée par e-mail d'hameçonnage au sein d'une usine, a traversé le réseau et compromis le contrôleur de domaine de la société mère. Les attaquants ont ensuite utilisé des vulnérabilités de sécurité et des rootkits pour prendre le contrôle des postes de travail et des serveurs. En particulier, ils ont compromis les panneaux de solutions de sécurité pour recueillir des informations et distribuer des logiciels malveillants aux systèmes en dehors des filiales et de l'infrastructure du domaine de l'entreprise.
Vyacheslav Kopeytsev, chercheur principal en sécurité chez Kaspersky ICS CERT, a déclaré : "Protéger le secteur industriel contre les attaques ciblées exige une approche prudente combinant des pratiques de cybersécurité éprouvées avec une réflexion proactive. Nos experts chez Kaspersky surveillent l'évolution des APT pour anticiper leurs mouvements et détecter de nouvelles tactiques et de nouveaux outils. Notre engagement en matière de recherche en cybersécurité découle de notre promesse de fournir des informations cruciales sur les menaces cybernétiques en constante évolution. Informés et dotés des dernières mesures de sécurité, les entreprises peuvent renforcer leurs défenses contre de tels attaquants et protéger leurs réseaux et systèmes."
Les experts de Kaspersky recommandent de prendre les mesures suivantes pour éviter une attaque ciblée, qu'elle provienne d'un acteur connu ou inconnu :
''Assurez-vous que votre équipe SOC a accès aux informations les plus récentes sur les menaces. La Threat Intelligence de Kaspersky fournit un point d'accès commun aux informations sur les menaces, y compris les données et les connaissances recueillies par Kaspersky au cours des 20 dernières années sur les cyberattaques. Renforcez votre équipe de cybersécurité grâce à la formation en ligne de Kaspersky, élaborée par les experts de GReAT, pour faire face aux dernières menaces ciblées. Des solutions spéciales comme Kaspersky Industrial CyberSecurity peuvent servir d'outil essentiel pour une évaluation continue des vulnérabilités et la gestion des triages dans le cadre d'un processus de gestion de vulnérabilités en constante évolution. Utilisez des solutions de détection et de réponse au niveau de l'extrémité telles que Kaspersky Endpoint Detection and Response pour la détection, l'investigation et la correction en temps voulu des incidents au niveau de l'extrémité. Au-delà de la protection de base de l'extrémité, déployez une sécurité d'entreprise qui détecte les menaces avancées à un stade précoce au niveau du réseau, comme Kaspersky Anti Targeted Attack Platform. Étant donné que de nombreuses attaques ciblées commencent par le phishing ou d'autres techniques d'ingénierie sociale, formez votre équipe à la sensibilisation à la sécurité et développez des compétences pratiques. Par exemple, vous pouvez le faire via la plateforme Kaspersky Automated Security Awareness. Nous recommandons de suivre des formations spécialisées telles que la Formation en Criminalistique Numérique et Interventions en ICS de Kaspersky ICS CERT pour vous assurer que votre équipe, vos outils et vos processus sont prêts à gérer des réponses complexes aux incidents dans votre secteur.''
Kaspersky participera au Sommet des Analystes en Sécurité (SAS) 2023, qui se tiendra du 25 au 28 octobre à Phuket, en Thaïlande, pour examiner l'avenir de la cybersécurité.
Le sommet rassemblera des chercheurs de pointe en lutte contre les logiciels malveillants, des organismes d'application de la loi du monde entier, des équipes de réponse aux incidents informatiques et des cadres supérieurs du secteur financier, technologique, de la santé, de l'éducation et du secteur public du monde entier.
Hibya Haber AjansıFrance News Agency