Dominik Breitenbacher
À la fin de l’année dernière,
nous avons découvert des attaques ciblées contre des entreprises aérospatiales
et militaires en Europe et au Moyen-Orient, actives de septembre à décembre
2019. Une enquête menée en collaboration avec deux des entreprises européennes
concernées nous a permis de mieux comprendre l’opération et de découvrir des
logiciels malveillants jusqu’alors inconnus.
Cet article fera la lumière
sur le déroulement des attaques. Vous trouverez l’intégralité de la recherche
dans notre white paper Opération In(ter)ception :
Attaques ciblées contre les entreprises européennes de l’industrie aérospatiale
et militaire [en anglais].
Les attaques, que nous avons
baptisées Opération In(ter)ception sur la base d’un échantillon de logiciel
malveillant connexe nommé Inception.dll,
étaient très ciblées et visaient clairement à rester sous le radar.
Pour compromettre leurs
cibles, les attaquants ont eu recours à l’ingénierie sociale via LinkedIn, se
cachant derrière la ruse des offres d’emploi attrayantes, mais fausses. Après
avoir pris pied, les attaquants ont déployé leurs logiciels malveillants
personnalisés à plusieurs niveaux, ainsi que des outils à code source ouvert
modifiés. Outre les logiciels malveillants, les adversaires ont utilisé diverses tactiques,
abusant d’outils légitimes et des fonctions du système d’exploitation.
Plusieurs techniques ont été utilisées pour éviter la détection, notamment la
signature de code, la recompilation régulière de logiciels malveillants et
l’usurpation d’identité de logiciels et d’entreprises légitimes.
Selon notre enquête, le but
premier de l’opération était l’espionnage. Cependant, dans l’un des cas sur
lesquels nous avons enquêté, les attaquants ont tenté de monétiser l’accès au
compte de messagerie d’une victime par une attaque de compromission de
messagerie d’entreprise (BEC) comme étape finale de l’opération.
Bien que nous n’ayons pas
trouvé de preuves solides reliant les attaques à un acteur connu de la menace,
nous avons découvert plusieurs indices suggérant un lien possible avec le groupe Lazarus,
y compris des similitudes dans le ciblage, l’environnement de développement et
les techniques anti-analyse utilisées.
Compromission initiale
Dans le cadre de la phase
initiale de compromission, les attaquants de l’opération In(ter)ception avaient
créé de faux comptes LinkedIn en se faisant passer pour des représentants en
ressources humaines de sociétés bien connues dans les secteurs de l’aérospatiale
et de la défense. Dans le cadre de notre enquête, nous avons vu des profils se
faisant passer pour Collins Aerospace (anciennement Rockwell Collins) et
General Dynamics, deux grandes entreprises américaines dans ce domaine.
Une fois les profils établis, les
attaquants ont recherché les employés des entreprises ciblées et leur ont
envoyé des offres d’emploi fictives en utilisant la fonction de messagerie de
LinkedIn, comme le montre la figure 1. (Notez que les faux comptes LinkedIn
n’existent plus).
Article complet sur :