Il s’avère que le malware Olympic Destroyer, une menace avancée qui a essayé de saboter les Jeux Olympiques d’hiver qui ont eu lieu en Corée du Sud en 2018, est de retour. Nos experts ont récemment détecté des traces d’activités similaires à Olympic Destroyer, mais cette fois les actions visent les organisations financières de la Russie, et les laboratoires de prévention des menaces biologiques et chimiques des Pays-Bas, de l’Allemagne, de la France, de la Suisse et de l’Ukraine.
Quel est le problème ?
La version originale du malware Olympic Destroyer utilisait des méthodes très sophistiquées pour tromper les utilisateurs. Comme leurre, il a d’abord utilisé des documents très convaincants qui contenaient un malware caché. Ensuite, il a mis en place des méthodes d’offuscation pour que les solutions de protection ne puissent pas le détecter. Mais le plus étrange est qu’il a utilisé plusieurs fausses bannières pour compliquer l’analyse de menaces.
Avec cette nouvelle menace, nous observons une nouvelle espèce de documents d’harponnage, qui disposent d’une charge utile similaire aux outils de la version originale du malware Olympic Destroyer. Il n’y aucun signe de ver pour le moment, mais les documents que nous avons vus jusqu’à présent pourraient indiquer qu’il s’agit d’une phase de reconnaissance, tout comme ce fut le cas en 2017 puisqu’une phase de reconnaissance a précédé le sabotage. Vous pouvez consulter les informations techniques et l’infrastructure de ce malware, ainsi que les indicateurs de compromis dans cet article publié sur Securelist.
Nouveaux intérêts
Ici, la véritable nouveauté concerne les cibles choisies par ce nouveau malware. Notre analyse des lettres utilisées comme leurre, montre que cette fois, les cybercriminels essaient de s’infiltrer dans les laboratoires de prévention des menaces biologiques et chimiques. Parmi les nouvelles cibles, nous trouvons également les organisations financières de la Russie, même si l’aspect financier pourrait être une fausse bannière.
En plus des scripts offusqués, les documents font référence à « Spiez Convergence » (un séminaire qui a eu lieu en Suisse pour les chercheurs en menaces biochimiques), à l’agent innervant qui aurait été utilisé pour empoisonner Sergei Skripal et sa fille en Angleterre, et aux ordres donnés par le ministre de la santé ukrainienne.
Ce que ça signifie pour votre entreprise
En général, lorsque nous parlons des menaces qui se répandent en utilisant l’hameçonnage, notre premier conseil est d’être encore plus attentif lorsqu’il s’agit d’ouvrir des fichiers suspects. Malheureusement, ce conseil ne peut pas s’appliquer ici puisque les documents ne sont pas suspects.
Les leurres créés pour cette attaque d’harponnage sont adaptés à la victime pour que les documents lui semblent pertinents. Tout ce que nous pouvons recommander aux entreprises qui travaillent dans la prévention et la recherche sur les menaces biochimiques, et aux structures présentes en Europe, est de réaliser des audits de sécurité non programmés. Oh, et n’oubliez pas d’installer des solutions de protection fiables. Nos produits détectent et bloquent les malwares qui appartiennent à la même famille qu’Olympic Destroyer.