Ignorer le contenu principal

APT : Le groupe Lazarus se tourne à présent vers l’industrie de la défense, selon les conclusions de Kaspersky

4 mars 2021

Les chercheurs de Kaspersky ont identifié une nouvelle campagne, jusqu'alors inconnue, menée par Lazarus, un acteur APT très prolifique.

Les chercheurs de Kaspersky ont identifié une nouvelle campagne, jusqu'alors inconnue, menée par Lazarus, un acteur APT très prolifique. Actif depuis au moins 2009, Lazarus est lié à un certain nombre de campagnes, notamment à l’encontre du marché des crypto-monnaies. Kaspersky révèle que depuis le début de l'année 2020, le groupe cible l'industrie de la défense, via l’utilisation d’une porte dérobée appelée « ThreatNeedle ». ThreatNeedle recueille les informations sensibles de l’entreprise qu’elle infecte grâce à sa capacité à se déplacer à travers des réseaux distincts.

Le groupe Lazarus compte parmi les acteurs les plus actifs au monde en matière de menace cyber. En activité depuis au moins 2009, il est impliqué dans des campagnes de cyber espionnage à grande échelle, mais également dans des attaques d’envergure par ransomwares ou encore contre le marché des crypto-monnaies. Si Lazarus ciblait plutôt des institutions financières, il semble que depuis le début de l’année 2020, le groupe se tourne aussi vers l'industrie de la défense.

Les chercheurs de Kaspersky ont pris connaissance de cette nouvelle orientation dans le cadre d’une gestion d’incident réalisée pour une entreprise victime d’une attaque récente. En intervenant, l’équipe de Kaspersky a découvert que l'organisation touchée avait été victime d'une porte dérobée (backdoor), un type de logiciel malveillant qui permet de prendre le contrôle, à distance, d’un appareil infecté. Baptisée ThreatNeedle, cette porte dérobée permet aux attaquants d’avoir accès aux différents réseaux de l’entreprise et d’extraire les informations confidentielles. Depuis cette découverte, Kaspersky a identifié d’autres entreprises touchées par ThreatNeedle, lesquelles sont implantées dans plus d'une douzaine de pays.

La particularité de ThreatNeedle : accéder aux réseaux distincts d’une entreprise malgré leur segmentation

ThreatNeedle infecte l’entreprise par le biais de spear phishing, autrement dit par une attaque phishing très personnalisée. En effet, les cibles reçoivent des emails contenant un document Word malveillant ou un lien vers une pièce-jointe hébergée sur les serveurs de l'entreprise visée. La plupart des mails reçus contiennent des informations prétendument urgentes liées à la pandémie de Covid et se présentent comme émanant d’une organisation médicale reconnue. Une fois installé, ThreatNeedle permet de prendre le contrôle total des appareils de l’entreprise, offrant par exemple aux pirates la possibilité de manipuler des fichiers ou d’exécuter des commandes à distance.

L’un des points les plus remarquables de cette campagne se trouve dans le fait que Lazarus réussit à dérober des données à la fois via le réseau informatique interne de l’entreprise, regroupant les postes de travail avec accès Internet, mais aussi via le réseau fermé de celle-ci, qui sécurise les processus confidentiels de production. Or, en temps normal, pour assurer la protection des données, aucune information n'est censée transiter entre ces deux réseaux. Seuls les administrateurs IT peuvent s’y connecter pour assurer la maintenance des systèmes. Mais Lazarus réussit ici à prendre le contrôle des postes de travail des administrateurs, lui permettant de mettre en place une passerelle malveillante pour attaquer le réseau restreint et y voler des données confidentielles.

Le logiciel malveillant ThreatNeedle utilisé dans cette nouvelle campagne fait partie d’une famille de malwares connue sous le nom de Manuscrypt, qui appartient au groupe Lazarus et qui a déjà été utilisée par le passé pour attaquer des entreprises de crypto-monnaies.

« Lazarus était probablement l’acteur cyber le plus actif de l’année 2020, et il semble que cela reste le cas encore aujourd’hui. En janvier 2021 déjà, l'équipe d'analyse des menaces de Google a signalé que Lazarus avait utilisé la porte dérobéeThreatNeedle pour cibler des chercheurs en sécurité. Nous nous attendons à rencontrer davantage ThreatNeedle à l'avenir et nous continuons à analyser son évolution », explique Seongsu Park, chercheur senior en sécurité au sein de l'équipe de recherche GReAT (Global Research & Analysis Team) de Kaspersky.

« Lazarus n'est pas seulement très prolifique, il est aussi très sophistiqué. Non seulement le groupe réussit à contourner la segmentation des réseaux, mais il est capable d’effectuer des recherches préalables approfondies lui permettant de créer des mails de spear phishing très personnalisés et convaincants. Il excelle en outre à construire des outils personnalisés capables d’extraire des informations volées depuis un serveur distant. Sachant que le travail à distance est toujours d’actualité dans les entreprises, les industries sont encore plus vulnérables. Il devient ainsi plus que nécessaire que celles-ci prennent des mesures de sécurité supplémentaires pour se protéger contre ce type d'attaques avancées », commente Vyacheslav Kopeytsev, expert en sécurité chez Kaspersky pour le groupe ICS CERT.

Pour en savoir plus sur la campagne ThreatNeedle : Kaspersky ICS CERT - Lazarus targets defense industry with ThreatNeedle

Pour protéger son organisation contre des attaques de type ThreatNeedle, les experts de Kaspersky recommandent :

  • De dispenser à ses collaborateurs une formation de base en matière de cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou par des techniques d'ingénierie sociale.
  • Si une entreprise possède une technologie d’exploitation (Operational Technology) ou une infrastructure critique, de s’assurer que celles-ci sont séparées du réseau de l’entreprise, et qu’il ne puisse pas y avoir de connexions non autorisées.
  • De veiller à ce que les collaborateurs soient informés de la politique de cybersécurité de l’entreprise et qu’ils en suivent les règles.
  • De fournir à son équipe SOC l'accès à des informations de Threat Intelligence (TI). A titre d’exemple, Kaspersky Threat Intelligence Portal constitue un point d'accès unique pour l’IT de l'entreprise, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
  • De déployer une solution de sécurité de niveau entreprise capable de détecter les menaces avancées au niveau du réseau à un stade précoce, telle que Kaspersky Anti Targeted Attack Platform.
  • De mettre en place une solution dédiée aux nœuds et réseaux industriels, qui permet la surveillance, l'analyse et la détection des menaces au niveau du réseau OT (à l’image de Kaspersky Industrial CyberSecurity).

A propos de Kaspersky ICS CERT

Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) est un projet mondial lancé par Kaspersky en 2016 pour coordonner les efforts des fournisseurs de systèmes d'automatisation, des propriétaires et des opérateurs d'installations industrielles et des chercheurs en sécurité informatique afin de protéger les entreprises industrielles contre les cyberattaques. Kaspersky ICS CERT travaille à l'identification des menaces potentielles et existantes qui visent les systèmes d'automatisation industrielle et l’Internet des Objets (IoT). Kaspersky ICS CERT est un membre actif et un partenaire des principales organisations internationales qui élaborent des recommandations sur la protection des entreprises industrielles contre les cybermenaces. Pour en savoir plus : ics-cert.kaspersky.com

A propos de Kaspersky

Kaspersky est une société internationale de cybersécurité fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 250 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr

APT : Le groupe Lazarus se tourne à présent vers l’industrie de la défense, selon les conclusions de Kaspersky

Les chercheurs de Kaspersky ont identifié une nouvelle campagne, jusqu'alors inconnue, menée par Lazarus, un acteur APT très prolifique.
Kaspersky logo

À propos de Kaspersky

Kaspersky est une entreprise mondiale de cybersécurité et de confidentialité numérique fondée en 1997. Avec plus d’un milliard d’appareils protégés à ce jour contre les cybermenaces émergentes et les attaques ciblées, l’expertise de Kaspersky en matière de sécurité et de veille sur les menaces prend la forme de solutions et services innovants améliorées en continu et visant à protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de l’entreprise comprend une protection de pointe des terminaux, des produits et services de sécurité spécialisés, ainsi que des solutions de cyberimmunité pour lutter contre les menaces numériques sophistiquées qui ne cessent d’évoluer. Nous aidons plus de 200 000 entreprises clientes à protéger ce qui compte le plus pour elles. Plus d'informations sur : www.kaspersky.fr.

Articles connexes Communiqués de presse