Un rapport sur le cyber-espionnage en tant qu’appât

La société Mandiant, spécialisée dans la protection contre les attaques ciblées a émis une mise en garde contre les diffusions malveillantes qui intègrent une copie de sa nouvelle étude sur les pirates chinois en tant qu’élément dans des attaques de spear-phishing (harponnage).

Le rapport de Mandiant, publié à la mi-février, contient des preuves des liens qui existent entre un des groupes de pirates les plus actifs et une unité spéciale de l’armée populaire de libération de Chine. D’après les experts, ce groupe de pirates chinois a réalisé pendant de nombreuses années des activités de cyber-espionnage et volé des centaines de téra-octets de données confidentielles de 140 organisations étrangères. Le rapport reprend également plus 3 000 particularités qui permettent d’établir sans aucun doute la responsabilité de ce groupe.  

D’après les experts, cette étude détaillée qui a entraîné de vive discussion et qui a obligé une fois de plus des autorités chinoises à nier toute implication dans le cyber-espionnage, est utilisée actuellement par les individus malintentionnés en tant qu’appât. Un des messages malveillant détecté par Symantec est envoyé au nom d’un représentant des médias qui recommande au destinataire la lecture des conclusions de Mandiant. Le message est envoyé depuis une adresse d’un service de messagerie gratuit. Il est rédigé en mauvais japonais et contient une pièce jointe au format PDF qui porte le nom de l’auteur de l’étude. Si l’utilisateur ouvre ce fichier, il peut voir la page de titre originale du rapport tandis qu’un code d’exploitation qui vise la vulnérabilité CVE-2013-0641 qui vient d’être corrigée dans Adobe Reader/Acrobat s’active. Si l’ordinateur de la victime n’est pas doté du correctif, un downloader s’installe et télécharge d’autres fichiers malveillants depuis un autre serveur, d’après les informations de la société coréenne Seculert.

Un autre fichier pdf malveillant présenté sous les traits d’une copie du rapport Mandiant a été détecté par Brandon Dixon, un chercheur indépendant. Ce fichier est protégé par un mot de passe et quand il est activé, il reproduit le document original et lance également le nouveau processus AdobeArm.tmp dans le système. D’après Dixon, la charge utile de ce fichier PDF est le code d’exploitation connu pour la vulnérabilité CVE-2011-2462 dans Adobe Reader/Acrobat. Ce code d’exploitation permet d’installer une porte dérobée sur l’ordinateur de la victime qui recevra des instructions d’un domaine de commande qui a déjà fait parler de lui dans les attaques de l’année dernière contre des défenseurs des droits de l’homme. D’après Seculert, les messages non sollicités qui propagent cette pièce jointe malveillante sont destinés à des journalistes chinois.

Mandiant de son côté mène sa propre enquête afin d’identifier les auteurs des diffusions malveillantes et a déjà démenti les informations relatives à l’attaque menée contre ses ressources. Pour éviter tout problème, les utilisateurs sont invités à télécharger les rapports de la société uniquement depuis la source originale. Des caches qui permettent de confirmer la sécurité du téléchargement ont également été publiés sur le site de Mandiant.

 Sources :

 

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *