IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le gouvernement US publie les nouveaux logiciels malveillants utilisés par les pirates nord-coréens


Sujet :

Sécurité

  1. #1
    Membre chevronné

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Janvier 2020
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Janvier 2020
    Messages : 27
    Points : 1 926
    Points
    1 926
    Par défaut Le gouvernement US publie les nouveaux logiciels malveillants utilisés par les pirates nord-coréens
    Le gouvernement US publie les nouveaux logiciels malveillants utilisés par les pirates nord-coréens
    pour mener des activités illégales

    Le Department of Homeland Security (DHS) du Pentagone, le FBI et le département américain de la défense (DoD) ont adopté une autre approche dans le conflit des États-Unis avec le gouvernement nord-coréen, du moins dans le domaine de la cybersécurité. Il s’agit de dévoiler publiquement les cyber-activités malveillantes menées par des pirates dans le but notamment de voler des fonds, probablement pour financer les programmes d’armement de la Corée du Nord.

    Cela fait suite à la dénonciation faite par l’ONU, en août 2019, de l’emploi par Pyongyang de certains groupes de hackers pour piller des banques et mettre la main sur des échanges de crypto-monnaies. Mais, alors que ces pratiques des pirates nord-coréens ne sont guère nouvelles, c’est plutôt la première fois que le gouvernement américain décide d’afficher publiquement et de manière détaillée les outils déployés dans ces opérations de piratage dénommées HIDDEN COBRA. Kaspersky Lab, de son côté, identifie de nombreux logiciels malveillants utilisés dans le cadre de ces campagnes d’attaques comme les mêmes que ceux qui sont attribués à un groupe de pirates dénommé « Lazarus ».

    Nom : Cybersecurite-Piratage-Hacker-650x405.jpg
Affichages : 2148
Taille : 49,2 Ko

    Cela concerne sept familles de malwares, dont six ont été téléchargées sur VirusTotal, identifiées par le DHS comme des variantes de cheval de Troie :

    • BISTROMATH : un implant RAT (Remote Access Trojan) muni d’un contrôleur CAgent11 GUI pouvant inspecter le système d’exploitation, télécharger (downloader ou uploader) des fichiers, exécuter des processus et commandes, et surveiller le presse-papiers ainsi que le microphone et l’écran de l’ordinateur cible. Le contrôleur GUI permet d’interagir avec l’implant, voire de créer de nouveaux implants. Une fake bitmap se trouvant dans le cheval de Troie se décode en shellcode pour charger l’implant intégré.
    • SLICKSHOES : déposant un implant Themida (via le fichier taskenc.exe) qui, à son tour, recueille des informations telles que la version du système d’exploitation, le nom d’utilisateur et l’adresse IP de l’ordinateur hôte ; l’implant exécute ensuite un algorithme de codage du réseau local et peut réaliser la plupart des tâches attribuées BISTROMATH.
    • HOTCROISSANT : un implant de balisage complet qui effectue l’importation dynamique de DLL et réalise des recherches d’API via LoadLibrary et GetProcAdress sur des chaînes de caractères obscurcies pour masquer l’utilisation des fonctions réseau par le malware. Cet implant peut également réaliser la plupart des tâches dont est capable BISTROMATH.
    • ARTFULPIE : un implant qui télécharge et charge en mémoire, puis exécute une DLL via une URL désormais codée dans la machine hôte.
    • BUFFETLINE : un implant se rapproche de HOTCROISSANT dans ses fonctionnalités d’importation dynamique de DLL, de recherche d’API et de masquage des fonctions réseau. L’implant utilise PolarSSL pour l’ouverture de session, mais aussi FakeTLS pour le codage réseau via un algorithme RC4 modifié. Cet implant peut aussi downloader/uploader et exécuter des fichiers, autoriser l’accès CLI Windows, créer et terminer des processus, …
    • CROUDFLOUNDER : un exécutable Win32 de pack Themida destiné à décompresser en mémoire un binaire RAT, puis à ouvrir le pare-feu Windows de la machine hôte afin d’autoriser toute connexion entrante et sortante.


    En complément, un autre rapport d’analyse de malwares publié concerne HOPLIGHT, une famille de 20 fichiers exécutables malveillants, dont 16 sont des applications de proxy qui masque les échanges entre le logiciel et les opérateurs distants. Ces proxys peuvent générer des faux TLS pour ouvrir des sessions en utilisant des certificats SSL valident.

    La raison avancée de ce dévoilement public et détaillé des pratiques des pirates nord-coréens est la sophistication accrue des logiciels malveillants et des techniques déployés par les cybercriminels. En effet, si auparavant ces derniers ont eu recours à des moyens moins avancés, il n’en est plus le cas ces derniers temps. L’on peut se rappeler des attaques destructrices menées contre Sony Pictures en 2013, attribuées en 2018 par la Justice américaine à un agent nord-coréen considéré également comme ayant déclenché le ver rançongiciel WannaCry en 2017.

    En 2019, le Trésor américain a aussi pointé du doigt trois groupes de hackers nord-coréens comme responsables des piratages ayant visé des infrastructures critiques et pillé des banques aux États-Unis. Le gouvernement fédéral a probablement estimé qu’il est temps de faire participer le grand public aux stratégies de prévention contre ces attaques qui proviendraient des pirates de la Corée du Nord.

    Source : CISA

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Pyongyang aurait obtenu 2 milliards de dollars grâce à des cyberattaques

    Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière le virus WannaCry

    WannaCry : les États-Unis incriminent officiellement la Corée du Nord « avec un très haut niveau de certitude »

    Les USA rapportent une nouvelle cyberactivité malveillante nord-coréenne Quelques jours après le sommet historique entre les présidents des deux pays

    Piratage de Sony : les États-Unis sanctionnent la Corée du Nord

  2. #2
    Expert confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Novembre 2009
    Messages
    2 034
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Novembre 2009
    Messages : 2 034
    Points : 5 476
    Points
    5 476
    Par défaut
    Pourquoi certains ont des noms franglais comme on peut en trouver en France?

Discussions similaires

  1. Réponses: 10
    Dernier message: 23/09/2016, 13h26
  2. recuperer les legendes (caption) des champs d'une table
    Par eddy37fr dans le forum VBA Access
    Réponses: 5
    Dernier message: 18/03/2008, 22h59
  3. Réponses: 1
    Dernier message: 13/02/2007, 17h03
  4. |VB6] Comment Lister les liens vers des fichiers d'une page web
    Par Mayti4 dans le forum VB 6 et antérieur
    Réponses: 8
    Dernier message: 18/01/2005, 19h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo