Un groupe de pirates s’attaque à un concurrent. De cette confrontation sont apparues les guerres des menaces persistantes avancées (APT).
L’éditeur de solution de sécurité informatique Kaspersky Lab a observé un cas qu’ils considèrent rare et inhabituel, une attaque perpétrée par un cybercriminel contre un autre. Ils ne doivent pas trainer souvent dans certains chans IRC, forums ou Twitter. Les pirates aiment se taper dessus. Le cas révélé par la société Russe a débuté en 2014. Hellsing, un petit groupe de cyber espions, assez « anodin » sur le plan technique et ciblant principalement des organismes gouvernementaux et diplomatiques en Asie, a fait l’objet d’une attaque de spear-phishing. Cette attaque a été lancée par un autre groupe de cybercriminels et Hellsing a décidé de répliquer. Kaspersky Lab pense que cela pourrait marquer le début d’une nouvelle tendance dans le monde de la cybercriminalité : les guerres des APT (menaces persistantes avancées).
La découverte a été faite pendant leurs recherches sur les activités de Naikon, un groupe de cyber espionnage visant des cibles dans la zone Asie-Pacifique. Les experts ont remarqué que l’une des cibles de Naikon avait repéré la tentative d’infection de ses systèmes par un e-mail de spear-phishing comportant une pièce jointe malveillante. Le destinataire a vérifié l’authenticité de l’e-mail auprès de l’expéditeur et, apparemment non satisfait de la réponse, n’a pas ouvert la pièce jointe. Peu après, il a renvoyé à l’expéditeur un message contenant un malware de son cru.
Le mode de contre-attaque indique que Hellsing voulait identifier le groupe Naikon et recueillir des informations à son sujet. Une analyse approfondie de la menace Hellsing révèle une succession de mails de spear-phishing accompagnés de fichiers malveillants conçus pour propager un spyware entre les différents destinataires. Si l’un d’entre eux ouvre la pièce jointe malveillante, son système est infecté par un backdoor spécifique, capable de télécharger des fichiers, de se mettre à jour et de se désinstaller. Hellsing compterait près d’une vingtaine de victimes.
Les cibles de Hellsing
Le malware Hellsing a été bloqué en Malaisie, aux Philippines, en Inde, en Indonésie et aux Etats-Unis, les victimes étant les plus nombreuses dans les deux premiers pays. Les auteurs des attaques sont par ailleurs très sélectifs dans le choix de leurs cibles, tentant d’infecter principalement des organismes gouvernementaux et diplomatiques. « Le fait que le groupe Naikon ait été pris pour cible par Hellsing en représailles est pour le moins fascinant. Par le passé, nous avons assisté à des frappes accidentelles entre groupes APT, résultant du vol du carnet d’adresses des victimes puis d’un envoi massif à tous les destinataires répertoriés. Cependant, compte tenu du caractère ciblé et de l’origine de l’attaque, il paraît plus probable qu’il s’agisse d’un cas d’attaque délibérée entre APT », commente Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab. Hellsing serait actif depuis au moins 2012 et demeure d’actualité.
Pour se protéger contre les attaques Hellsing, mais aussi par toutes les autres possibilités malveillantes débarquant par mail, DataSecurityBreach.fr vous conseille de ne pas ouvrir les pièces jointes suspectes provenant d’expéditeurs inconnus. De prendre garde aux archives protégées de mot de passe et contenant des fichiers SCR ou d’autres exécutables. En cas de doute sur une pièce jointe, essayer de l’ouvrir dans une zone de quarantaine. Veiller à disposer d’un système d’exploitation récent et à y installer tous les correctifs de sécurité. Mettre à jour toutes les applications telles que Microsoft Office, Java, Adobe Flash Player et Adobe Reader.