ESET Research : les groupes russes d’APT (menace persistante avancée), Sandworm notamment, poursuivent leurs attaques contre l’Ukraine à l’aide de wipers et de rançongiciels

Prochain article

• ESET a publié son dernier rapport d’activité sur les APT, qui couvre la période allant de septembre à décembre 2022 (le troisième trimestre 2022).
• Les groupes APT alignés sur la Russie se sont particulièrement impliqués dans des opérations ciblant l’Ukraine, déployant des wipers destructeurs tels que NikoWiper. Sandworm a lancé ses wipers concomitamment avec des frappes de missile par les forces armées de Russie visant des infrastructures énergétiques. Bien qu’ESET ne soit pas en mesure de démontrer un lien entre ces événements, l’entreprise sous-entend que Sandworm et les forces militaires de Russie auraient des objectifs connexes.
• Les groupes russes d’APT ont attaqué l’Ukraine à l’aide de logiciels de rançon (Prestige, RansomBoggs).
• Outre Sandworm, d’autres groupes russes APT – Callisto et Gamaredon notamment – ont poursuivi leur campagne d’hameçonnage ciblé contre ce pays d’Europe de l’Est.
• Les groupes pro-Chine, Goblin Panda en particulier, ont commencé à reproduire les intérêts de Mustang Panda dans les pays d’Europe.
• Les groupes alignés sur l’Iran ont continué à agir à grande échelle.

ESET Research publie aujourd’hui son dernier rapport d’activité sur les APT (menaces persistantes avancées), qui synthétise des découvertes concernant des groupes très spécifiques d’APT qui ont fait l’objet d’une surveillance, d’enquête et d’analyse par les chercheurs d’ESET entre septembre et fin décembre (troisième trimestre) 2022. Pendant cette période, les groupes APT alignés sur la Russie ont pris part à des opérations ciblant l’Ukraine, déployant des wipers et logiciels de rançon destructeurs. Goblin Panda, un groupe aligné sur les positions de la Chine, a commencé à reproduire les intérêts de Mustang Panda dans les pays d’Europe. Les groupes alignés sur l’Iran ont eux aussi continué à agir à grande échelle.

En Ukraine, ESET a découvert que le groupe notoire Sandworm avait utilisé un wiper inconnu jusqu’alors contre une entreprise du secteur de l’énergie. Les groupes APT sont habituellement dirigés par des acteurs des États-nations ou parrainés par l’État ; l’attaque en question a eu lieu au mois d’octobre, au moment où les forces armées russes ont procédé à des tirs de missile contre des infrastructures énergétiques. Bien qu’ESET ne soit pas en mesure de démontrer que ces événements sont coordonnés, l’entreprise sous-entend que Sandworm et les forces militaires de Russie auraient des objectifs connexes.

Le wiper le plus récent d’une série de wipers déjà découverts a été surnommé NikoWiper par ESET. Ce wiper a été utilisé contre une société du secteur de l’énergie en Ukraine en octobre 2022. NikoWiper est basé sur SDelete, un utilitaire de ligne de commande de Microsoft utilisé pour supprimer les fichiers en toute sécurité.

En plus des logiciels malveillants qui suppriment les données, ESET a découvert que Sandworm se servait d’un logiciel de rançon comme wiper lors de ses attaques, dont le but final, en dépit de l’utilisation de ce logiciel de rançon, était le même que lorsque des wipers étaient utilisés, c’est-à-dire la destruction des données. Contrairement aux attaques classiques à l’aide de logiciels de rançon, les opérateurs de Sandworm n’ont pas l’intention de fournir de clé de déchiffrement.

En octobre 2022, ESET a décelé l’utilisation du logiciel de rançon Prestige contre des entreprises de logistique en Ukraine et en Pologne. Et en novembre 2022, ESET a détecté un nouveau logiciel de rançon en Ukraine développé en .NET, que nous avons appelé RansomBoggs. ESET Research a rendu cette campagne publique sur son compte Twitter. Outre Sandworm, d’autres groupes russes d’APT tels que Callisto et Gamaredon ont poursuivi leur campagne d’hameçonnage ciblé contre l’Ukraine en vue de dérober des données d’accès et d’implanter des programmes malveillants.

Les chercheurs d’ESET ont également mis au jour une campagne d’hameçonnage ciblé de MirrorFace visant des entités politiques au Japon et s’est rendu compte que certains groupes alignés sur la Chine avaient progressivement modifié le type de cible visée, avec par exemple Goblin Panda qui a commencé à servir les intérêts de Mustang Panda dans les pays d’Europe. En novembre dernier, ESET a découvert une nouvelle porte dérobée développée par Goblin Panda, que nous avons surnommée TurboSlate, au sein d’une organisation gouvernementale de l’Union européenne. Le groupe Mustang Panda a lui aussi continué à cibler des organisations européennes ; en septembre dernier nous avons identifié un chargeur Korplug dont Mustang Panda s’est servi contre une organisation suisse du secteur de l’énergie et de l’ingénierie.

Les groupes en faveur de l’Iran ont eux aussi continué leurs attaques ; outre les entreprises israéliennes, POLONIUM a commencé à prendre pour cible des filiales étrangères de sociétés israéliennes, et MuddyWater est probablement responsable de la mise en danger d’un fournisseur de services de sécurité infogérés.

Les groupes alignés sur les positions de la Corée du Nord ont eu recours à d’anciens exploits informatiques pour compromettre la sécurité d’entreprises et bureaux de change de cryptomonnaie dans diverses régions du monde. Il est intéressant de noter que le groupe Konni a élargi l’éventail de langues disponibles dans ses documents leurres pour y inclure l’anglais, ce qui pourrait signifier un changement par rapport à ses cibles habituelles la Russie et la Corée du Sud.

Pour plus de renseignements d’ordre technique, vous pouvez consulter le « Rapport d’activité d’ESET sur les APT » dans son intégralité sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter pour connaître les dernières nouvelles d’ESET Research.

Les rapports d’activité d’ESET sur les APT ne contiennent qu’une petite fraction des données de Cyber Threat intelligence disponible aux clients par des rapports privés d’ESET sur les APT. ESET rédige des rapports techniques détaillés et des mises à jour régulières sur les activités de certains groupes d’APT sous forme de rapports PREMIUM afin d’aider les organisations chargées de la protection des citoyens, des infrastructures nationales essentielles et des actifs de grande valeur à lutter contre les cyberattaques criminelles et dirigées contre les États / nations. Pour plus de renseignements sur les rapports PREMIUM sur les APT, qui contiennent des informations stratégiques, concrètes et tactiques de qualité sur les menaces informatiques, rendez-vous sur ce lien : Données ESET sur les menaces.

Contact Presse :

Darina SANTAMARIA - +33 01 55 89 08 88 -  darina.j@eset-nod32.fr

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.

Pour plus d’informations, consultez www.eset.com/fr 
et suivez-nous sur LinkedIn, Facebook et Instagram.