Des hackers russes se font passer pour des diplomates pour pirater des ambassades

Trois experts en cybersécurité ont découvert une vaste opération de piratage ciblant les ambassades diplomatiques. Un groupe de hackers russes se font passer pour des employés de ces ambassades afin de pousser leurs victimes à télécharger la pièce jointe malveillante dans leur mail. Une fois chose faite, un malware infecte le PC et y récupère un grand nombre de données confidentielles.

pirate phishing
Crédits : Pexels

Ces dernières années, la scène pirate russe a fait grandement parler d’elle. Aujourd’hui, les hackers originaires du pays font partie des plus dangereux au monde, n’hésitant pas à s’attaquer à des instances gouvernementales via des attaques ayant parfois des retombées dramatiques. Depuis le début de la guerre en Ukraine, ces derniers ont montré de quoi ils sont capables en piratant des centrales électriques ou encore en prenant le contrôle de comptes Facebook de militaires.

Aujourd’hui, une nouvelle opération a été découverte par trois experts en cybersécurité de la société Mandiant. Le groupe de hackers qui en est à l’origine se prénomme APT29, et a la particularité de bénéficier du soutien officieux du gouvernement russe. Autrement dit, ces cibles sont choisies en fonction des intérêts politiques de la Russie. Voilà pourquoi APT29 s’attaque désormais à des ambassades.

Une campagne de phishing russe cible les ambassades et les diplomates

Les premières traces de l’attaque remontent à janvier 2022. Mandiant affirme que l’opération s’est déroulée au moins jusqu’en mars de cette année à travers plusieurs vagues successives. Pour commencer, les pirates se sont accaparé les adresses mail affichées sur les sites officiels des ambassades. De cette manière, ils se sont assuré de ne pas éveiller les soupçons auprès de leurs victimes.

Une fois chose faite, ils ont ciblé d’autres diplomates et employés des ambassades en, leur envoyant un mail, prétextant un changement dans le règlement intérieur, afin de susciter leur attention. Le mail en question contient une pièce jointe qui peut s’avérer être une image ou un fichier ISO. En réalité, le fichier contient un fichier INK, c’est-à-dire un raccourci Windows, qu’ils ont camouflé à l’aide d’une extension et d’une fausse icône.

Crédits : Pixabay

Lorsque le fichier INK est ouvert, il exécute un fichier DLL malveillant. À son tour, le fichier DLL lance le téléchargement de BOOMIC à l’aide de l’application BEATDROP, un malware qui se lance directement dans la mémoire de l’ordinateur et qui se connecte à l’outil en ligne Trello, très populaire au sein des entreprises. Là encore, l’utilisation de cet outil permet aux pirates de passer inaperçus. Qui plus est, cela leur permet de récupérer d’autres adresses mail des collaborateurs des diplomates ciblés.

Des ambassades se font infiltrer leur réseau et voler leurs données confidentielles

Lorsque BOOMIC est lancé, il effectue diverses tâches allant de la récupération des inputs clavier, l’enregistrement de captures d’écran, l’installation d’un serveur proxy, mais également des choses encore plus graves comme l’exfiltration des identifiants de compte ou encore l’analyse des ports. Enfin, le malware est capable de modifier le registre Windows afin de télécharger d’autres codes et applications malveillants.

Sur le même sujet — Ransomware : les pirates russes ont empoché 74 % des rançons en 2021

En moins de 12 heures, les pirates de APT29 parviennent à obtenir le plus haut rang de privilèges au sein du réseau des ambassades, qui leur donne entre autres l’autorisation d’y écrire des fichiers contenant des tickets Kerberos. Dès lors, ils peuvent scanner le réseau entier à la recherche d’autres victimes et adresses mail à qui envoyer BOOMIC.

« L’analyse de SharedReality.dll a permis d’identifier qu’il s’agit d’un dropper à mémoire seule écrit en langage Go qui décrypte et exécute un payload BEACON intégré. Le payload BEACON a été identifié comme étant SMB BEACON qui communique par le biais du Named Pipe de SharedReality.dll », a précisé Mandiant dans son communiqué.

 

Voir les commentaires
Ailleurs sur le web