Recevez chaque jour toute l'actualité du numérique

x

Des hackers nord-coréens ciblent des chercheurs en sécurité via un faux blog scientifique

Des chercheurs en sécurité ont été pris pour cibles par "une entité soutenue par le gouvernement basée en Corée du Nord", alertent des membres du Threat Analysis Group de Google. Via un blog et des comptes Twitter, les hackers tentaient d'attirer les chercheurs qui en cliquant sur certains liens se retrouvaient affectés par un malware.
Twitter Facebook Linkedin Flipboard Email
×

Des hackers nord-coréens ciblent des chercheurs en sécurité via un faux blog scientifique
Des hackers nord-coréens ciblent des chercheurs en sécurité via un faux blog scientifique © User:Colin wikipedia

Le Threat Analysis Group (TAG) de Google, en charge de traquer les cyberattaques, vient de révéler que des hackers ciblaient des chercheurs en sécurité travaillant dans diverses organisations publiques et privées. Le TAG attribue cette campagne à "une entité soutenue par le gouvernement basée en Corée du Nord".

Exploiter les failles humaines
Les hackers utilisent la méthode dite d'ingénierie sociale, qui repose sur l'exploitation des failles humaines pour dérober des informations ou arnaquer les victimes. En effet, ils ont créé un blog de recherche pour interagir avec leurs cibles. Sur leurs profils Twitter créés pour l'occasion, ils ont publié des liens vers leur blog, des vidéos, des résultats de recherche et retweeter les publications d'autres comptes qu'ils contrôlaient.

Leur blog, baptisé "BrownSec3Labs", contient des articles, des analyses de vulnérabilités et des publications de scientifiques "invités" sur le blog sans leur consentement, dans le but d'attirer des chercheurs en sécurité. Adam Weidemann, membre du TAG, admet qu'il a été impossible de vérifier si chacune des analyses de vulnérabilités était vraie ou non.

Une fausse vidéo YouTube 
Mais dans au moins un cas, "les acteurs ont simulé le succès de leur prétendu exploit de travail", indique le TAG. Le 14 janvier dernier, ils ont partagé via Twitter une vidéo YouTube dans laquelle ils prétendaient avoir exploité CVE-2021-1647, une vulnérabilité affectant le moteur de protection anti-malware Defender de Microsoft récemment corrigée. Alors que plusieurs commentaires YouTube signalaient que la vidéo était sûrement falsifiée, les hackers ont utilisé un deuxième compte Twitter pour retweeter le message original et affirmer qu'ils ne s'agissait absolument pas d'une "fausse vidéo". 
 


Pour attirer les chercheurs dans leurs filets, les cybercriminels proposaient également à leurs victimes de participer au projet de recherche, baptisé "Virtual Studio", dans lequel se cachait en fait un malware. Dans d'autres cas, des scientifiques ont suivi un lien Twitter vers un article hébergé sur le faux blog et peu de temps après, un logiciel malveillant a été installé dans leur système d'information et une porte dérobée permettant aux hackers d'accéder librement aux contenus de leurs victimes. 

Lors de ces visites, les systèmes victimes exécutaient des versions de navigateur Windows 10 et Chrome entièrement corrigées et à jour, indiquent les membres du TAG. Tout n'ayant pas encore été découvert, ils encouragent toute personne découvrant une vulnérabilité à la signaler via le Vulnerability Reward Program (VRP), le programme de bug bounty de Google. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.