DAN GOODIN – 12/11/2020
Le groupe de hackers est connu sous les noms de APT32 ou OceanLotus. Il opère depuis au moins 2014 et cible les entreprises du secteur privé de tous secteurs ainsi que les gouvernements étrangers, les dissidents et les journalistes en Asie du Sud et ailleurs. Il utilise diverses tactiques, dont l’hameçonnage, pour infecter ses cibles avec des logiciels malveillants pour ordinateurs de bureau et téléphones portables développés en interne.
Pour gagner la confiance de ses cibles, le groupe se donne beaucoup de mal pour créer des faux sites web et de fausses identités en ligne qui leurs font passer pour des personnes et des organisations légitimes.
Plus tôt cette année, des chercheurs ont découvert au moins huit applications Android inhabituellement sophistiquées, hébergées dans Google Play, qui étaient liées au groupe de piratage. Beaucoup d’entre elles étaient présentes depuis au moins 2018. OceanLotus a contourné à plusieurs reprises le processus de vérification des applications de Google, en partie en soumettant des versions bénignes des applications et en les mettant à jour ultérieurement pour ajouter des portes dérobées et d’autres fonctionnalités malveillantes.
FireEye a publié ce rapport détaillé sur OceanLotus en 2017, et BlackBerry a des informations plus récentes ici.
Jeudi, Facebook a donc identifié la société informatique vietnamienne CyberOne Group comme étant liée à OceanLotus. L’entreprise indique une adresse à Ho Chi Minh ville.
Un courriel envoyé à la société pour obtenir un commentaire a renvoyé un message d’erreur indiquant que le serveur de messagerie était mal configuré. Un rapport de Reuters de vendredi, cite, cependant, une personne exploitant la page Facebook de l’entreprise, maintenant suspendue, comme disant “Nous ne sommes pas Ocean Lotus. C’est une erreur”.
Au moment où ce post a été mis en ligne, le site web de la société était également inaccessible. Une archive du site datant de vendredi dernier est disponible ici.
Une enquête récente, selon Facebook, a révélé la variété des tactiques, techniques et procédures exploitées, notamment
- L’ingénierie sociale : APT32 a créé des personnages fictifs sur Internet se faisant passer pour des activistes et des entités commerciales ou a utilisé des leurres romantiques pour contacter les personnes qu’il visait. Ces efforts ont souvent consisté à créer des dispositifs de soutien pour ces fausses personnalités et ces fausses organisations sur d’autres services Internet afin qu’elles paraissent plus légitimes et puissent résister à un examen minutieux, y compris par des chercheurs en sécurité. Certaines de leurs pages ont été conçues pour attirer des cibles particulières en vue d’un hameçonnage ultérieur et d’injections de logiciels malveillants.
- Applications malveillantes du Play Store : en plus des sites Web d’hameçonnage, APT32 a incité des cibles pour qu’elles téléchargent des applications Android via le Play Store de Google, leurs donnant alors d’un large éventail d’autorisations et leurs permettant une surveillance étendue des appareils des personnes infectées.
- Propagation de logiciels malveillants : APT32 a compromis des sites web et a créé les siens en y incluant du code javascript malveillant permettant de repérer les habitudes de navigation des cibles. Une attaque par point d’eau se produit alors lorsque des pirates informatiques infectent des sites web fréquemment visités par des cibles ciblées afin de compromettre leurs dispositifs. Dans ce cadre, le groupe a créé un logiciel malveillant personnalisé capable de détecter le type de système d’exploitation utilisé par une cible (Windows ou Mac) avant d’envoyer une charge utile adaptée qui exécute le code malveillant. Conformément à l’activité passée de ce groupe, APT32 a également utilisé des liens vers des services de partage de fichiers où ils hébergeaient des fichiers malveillants que les cibles pouvaient cliquer et télécharger. Plus récemment, ils ont utilisé des liens raccourcis pour diffuser des logiciels malveillants. Enfin, le groupe s’appuyait sur des attaques remplaçant la bibliothèque de liens dynamiques (DLL) dans les applications Microsoft Windows. Ils ont développé des fichiers malveillants aux formats exe, rar, rtf et iso, et ont livré des documents Word bénins contenant des liens malveillants en texte.
Avec la désignation de l’entreprise CyberOne Group, ce n’est pas la première fois que des chercheurs établissent un lien public entre un groupe de piratage soutenu par le gouvernement et des organisations du monde réel.
En 2013, des chercheurs du groupe Mandiant, qui font maintenant partie de la société de sécurité FireEye, ont identifié une tour de bureaux de 12 étages à Shanghai, en Chine, comme étant le centre névralgique de Comment Crew, un groupe d’hacking qui a piraté plus de 140 organisations au cours des sept dernières années. Le bâtiment était le siège de l’unité 61398 de l’Armée populaire de Libération.
Et en 2018, FireEye a déclaré qu’un malware potentiellement mortel qui a altéré les mécanismes de sécurité d’une installation industrielle au Moyen-Orient a été développé dans un laboratoire de recherche en Russie.
Facebook a déclaré qu’il supprimait la capacité d’OceanLotus à abuser de la plateforme sociale. Facebook a déclaré qu’il s’attendait à ce que les tactiques du groupe évoluent mais que leur amélioration des systèmes de détection rendra plus difficile pour le groupe d’échapper à la détection.
Le rapport de jeudi ne fournit aucun détail sur la façon dont Facebook a lié OceanLotus au CyberOne Group, ce qui rend difficile pour des chercheurs indépendants de corroborer cette conclusion. Facebook a déclaré à Reuters que fournir ces détails fournirait aux attaquants et à d’autres comme eux des informations qui leur permettraient de se cacher à la détection, par Facebook, à l’avenir.
Source: ARS Technica
