L’éditeur Kaspersky a découvert et analysé un groupe de « mercenaires numériques ». Hautement professionnels et spécialisés, ils pénètrent dans les systèmes des entreprises pour subtiliser les informations sensibles.
Contrats commerciaux, secrets professionnels, mails confidentiels,... Toutes ces données, qui font la force et la spécificité des entreprises, sont également très convoitées par les cybercriminels. Kaspersky vient de mettre la main sur un groupe qu’il a baptisé « Icefog » et qui attaque de manière rapide et discrète des entreprises d'un grand nombre de secteurs:militaire, maritime, télécom, industriel, technologique, etc. Même des organisations gouvernementales sont prises en ligne de mire.
L’éditeur révèle un mode d’opération particulièrement professionnel. Ils choisissent minutieusement leurs cibles, pénètrent les systèmes, volent uniquement les données qui les intéressent, puis repartent sans laisser de traces. Un genre d’opération qualifié de « Hit & Run ».
L’Asie en ligne de mire
Les cibles se font piéger par des mails ou des sites web vérolés, taillés sur mesure. Une fois qu’ils ont installé leur porte dérobée, ils vérifient avec beaucoup d’attention qu’il ne s’agit pas d’une machine leurre, en scannant les dossiers personnels et les configurations IP. Puis ils aspirent les données sensibles : documents, mots de passe, carnets d’adresses. Bonne nouvelle, néanmoins : les entreprises ciblées sont principalement japonaises, coréennes ou chinoises. Le France ne fait pas (encore) partie du plan de chasse.
Selon Kaspersky, les membres de ce groupe agissent de manière trop ponctuelle pour faire partie d’une entité gouvernementale. C’est pourquoi l’éditeur les considère comme des « cybermercenaires ». Ils sont spécialisés dans une tache bien précise, se mettent au service du plus offrant et ciblent tout type d’organisations. « A l’avenir, nous pensons qu’il aura de plus en plus de ce genre de petit groupe, spécialisé dans les opérations Hit & Run », estime Kaspersky.
Symantec révèle l’existence d’un groupe de hackers mercenaires… chinois ?
Les Hidden Lynx, c’est le nom donné à un groupe de hackers nouvellement dévoilé par le géant de la sécurité informatique Symantec. Ce groupe serait impliqué dans quelques unes des plus grosses attaques informatiques des dernières années
Hidden Lynx. C’est le nom d’un groupe de hackers, constitués d’entre 50 et 100 experts en informatique, dont l’éditeur de solution de sécurité, Symantec, vient de dévoiler l’existence.
Symantec les suit avec attention depuis 2011 et a trouvé ses traces dans au moins six campagnes menées à travers le monde. D’après l’éditeur, ce « groupe est plus motivé et dynamique que les autres groupes bien connus tels que APT1/Comment Crew », qui avait été mis en avant dans le rapport Mandiant publié en février 2013.
Le groupe Hidden Lynx est, semble-t-il constitué de deux sous-groupes. Le premier, surnommé Moudoor, du nom du cheval de Troie qu’il utilise, agit « sans se soucier de sa découverte par les spécialistes de la sécurité ». Le second, baptisé Naid, toujours du nom d’un cheval de Troie qu’il a adopté, agit davantage comme une « unité d’opérations spéciales, composée de membres d’élite qui infiltrent les cibles les plus précieuses ou les plus robustes ». Naid est, selon le communiqué de Symantec, utilisé avec parcimonie et prudence, comme une « arme secrète utilisée uniquement lorsque l’échec n’est pas envisageable ».
Force de frappe
Hidden Lynx est en tout cas capable de mener de nombreuses attaques, de front, contre des centaines d’entreprises à travers le monde. L’éditeur précise que ces hackers ont été les premiers à utiliser la technique du trou d’eau, qui demande patience, savoir-faire et une grande quantité d’information. Pour arriver à leurs fins, ces pirates informatiques « accèdent rapidement aux failles zero-day » et sont capables de compromettre « la chaîne logistique afin d’atteindre [leur] cible ».
Selon Symantec, les Hidden Lynx seraient derrière la fameuse attaque VOHO découverte en juin 2012. Elle leur avait permis de viser les fournisseurs de l’armée américaine, dont les systèmes étaient sécurisés par une solution de Bit9. Les hackers ont alors compromis le cœur du système de sécurité en s’attaquant directement à Bit9 et se sont introduits dans l’infrastructure de signature de fichiers sur laquelle repose ce système.
Les origines ?
D’où provient ce groupe de hackers ? La communication française de Symantec ne le précise pas. En revanche, Reuters laisse entendre que ce groupe pourrait bien être d’origine chinoise, comme APT1. L’éditeur s’est en tout cas bien gardé d’indiquer que le gouvernement chinois pouvait être lié à Hidden Lynx. En revanche, Symantec précise dans son rapport que les Hidden Lynx pourraient avoir été impliqués dans l’opération Aurora de 2009, qui avait mis à mal la sécurité de nombreuses entreprises américaines
From : 01Informatique,...