Une nouvelle cyber-recherche relie le tristement célèbre groupe Lazarus aligné sur la Corée du Nord derrière l’attaque de malware Linux appelée Operation DreamJob à l’attaque de la chaîne d’approvisionnement 3CX.

Dans le cyber rapport Live Security du 20 avril de la société, les chercheurs d’ESET ont annoncé une connexion entre le groupe Lazarus et des attaques étendues ciblant désormais le système d’exploitation Linux. Les attaques font partie d’une activité persistante et de longue durée suivie sous le nom d’Operation DreamJob qui a eu un impact sur les chaînes d’approvisionnement, selon l’équipe de cybersécurité d’ESET.

Le groupe Lazarus utilise des techniques d’ingénierie sociale pour compromettre ses cibles, avec de fausses offres d’emploi comme leurre. Dans ce cas, les chercheurs d’ESET ont reconstruit toute la chaîne à partir du fichier zip qui fournit une fausse offre d’emploi HSBC comme leurre à la charge utile finale. Les chercheurs ont identifié la porte dérobée SimplexTea Linux distribuée via un compte de stockage en nuage OpenDrive.

Il s’agit de la première mention publique de cet acteur majeur de la menace aligné sur la Corée du Nord utilisant un logiciel malveillant Linux dans le cadre de cette opération, selon ESET. Cette découverte a aidé l’équipe à confirmer « avec un haut niveau de confiance » que le groupe Lazarus a mené la récente attaque de la chaîne d’approvisionnement 3CX.

Les chercheurs soupçonnaient depuis un certain temps que des attaquants parrainés par l’État coréen étaient impliqués dans les cyberattaques DreamJob en cours. Ce dernier rapport corrobore ce lien, selon le billet de blog.

« Cette attaque montre, en couleur, comment les acteurs de la menace continuent d’étendre leur arsenal, leurs cibles, leurs tactiques et leur portée pour contourner les contrôles et les pratiques de sécurité », a déclaré John Anthony Smith, PDG de la société de services d’infrastructure et de cybersécurité Conversant Group, à LinuxInsider.

Une cyberétape malheureuse

Smith a ajouté que les attaquants ciblant une chaîne d’approvisionnement ne sont ni nouveaux ni surprenants. C’est un talon d’Achille pour les organisations, et c’était inévitable.

Finalement, une chaîne d’approvisionnement peut en affecter une autre dans une « attaque de chaîne d’approvisionnement filetée ». Il s’agit d’une étape importante et malheureuse en matière de sécurité, a-t-il observé.

«Nous en verrons probablement plus. Nous voyons des acteurs de la menace étendre leurs variantes pour affecter davantage de systèmes, tels que BlackCat utilisant le langage Rust afin que leur ransomware puisse infecter les systèmes Linux et être plus indétectable », a-t-il déclaré, faisant référence à ce cas d’utilisation de logiciels malveillants Linux.

Il a décrit les cyberattaques DreamJob comme un nouveau regard sur l’ancien scénario de fausse offre. Les acteurs de la menace continueront de trouver de nouveaux rebondissements, variantes, schémas et vecteurs.

« Ainsi, les organisations doivent toujours être agiles dans l’évaluation régulière de leurs contrôles parallèlement à ces tactiques changeantes et en expansion », a conseillé Smith.


Détails de l’attaque révélés

3CX est un développeur et distributeur de logiciels VoIP qui fournit des services de système téléphonique à de nombreuses organisations. Cette société compte plus de 600 000 clients et 12 000 000 d’utilisateurs dans divers secteurs, notamment l’aérospatiale, les soins de santé et l’hôtellerie. Il fournit un logiciel client via un navigateur Web, une application mobile ou une application de bureau.

Fin mars, les travailleurs de la cybersécurité ont découvert que 3CX était compromis par un code malveillant dans l’application de bureau pour Windows et macOS. Le code malveillant a permis aux attaquants de télécharger et d’exécuter du code arbitraire sur toutes les machines hébergeant le logiciel installé.

Les cyber-experts ont en outre découvert que le logiciel compromis de 3CX avait été utilisé dans une attaque de la chaîne d’approvisionnement. Le groupe Lazarus a utilisé des acteurs externes de la menace pour distribuer des logiciels malveillants supplémentaires à des clients 3CX spécifiques.

CrowdStrike le 29 mars a rapporté que Labyrinth Chollima, le nom de code de la société pour Lazarus, était à l’origine de l’attaque, mais a omis toute preuve à l’appui de cette affirmation, selon le blog ESET. En raison de la gravité de l’incident, plusieurs sociétés de sécurité ont commencé à publier leurs propres résumés des événements.

Les attaquants de l’opération DreamJob approchent des cibles via LinkedIn et les tentent avec des offres d’emploi d’entreprises industrielles de haute technologie. Le groupe de pirates est désormais en mesure de cibler tous les principaux systèmes d’exploitation de bureau.

Tactiques et outils Découvrir le but

Les cyber-adversaires lancent leurs campagnes dans un but planifié. Les outils qu’ils utilisent peuvent aider les agents de sécurité à discerner les détails de cet objectif, a proposé Zane Bond, chef de produit de la société de logiciels de cybersécurité Keeper Security.

La plupart des campagnes contre le grand public sont des cyberattaques larges, à faible confiance et à faible taux de clics. L’idée est que si un mauvais acteur envoie cent millions d’e-mails et qu’un destinataire sur un million clique dessus, l’attaquant fait toujours une centaine de victimes, a-t-il expliqué.

« Si la charge utile est envoyée à un nombre inconnu d’utilisateurs, le système d’exploitation ayant les meilleures chances de succès est Windows, de loin », a-t-il déclaré à LinuxInsider.

Lorsqu’un adversaire commence à créer des charges utiles de phishing pour Mac et le Linux encore moins courant, nous pouvons supposer que l’attaquant fait du harponnage ou envoie l’e-mail malveillant à des cibles présélectionnées et probablement de grande valeur.

«Lorsque les systèmes Linux sont attaqués, les cibles sont presque exclusivement les serveurs et le cloud. Dans ces cas, l’attaquant sait qui cibler pour l’accès et peut adapter les efforts de messagerie et d’ingénierie sociale à cette victime spécifique », a-t-il déclaré.


Les attaques Linux montrent un changement d’orientation

La présence de logiciels malveillants Linux dans l’arsenal des acteurs de la menace reflète la façon dont les pirates ont réorienté leur attention pour inclure l’exploitation de dispositifs IoT et de technologie opérationnelle (OT) vulnérables. Ces types d’attaques existent à une échelle beaucoup plus grande que les systèmes informatiques et ne sont souvent pas gérés avec le même accent sur la cybersécurité que les appareils informatiques, a proposé Bud Broomhead, PDG de la société automatisée de cyberhygiène IoT Viakoo.

« Les appareils IoT / OT sont des systèmes fonctionnellement cyber-physiques, où il y a un élément physique à leur fonctionnement, comme ajuster les vannes, ouvrir les portes, capturer la vidéo », a-t-il déclaré à LinuxInsider.

Essentiellement, ces appareils sont les yeux, les oreilles et les mains d’une organisation. Broomhead a ajouté que les acteurs de la menace des États-nations, en particulier, cherchent à infecter et à prendre pied dans l’infrastructure du système cyber-physique en raison de leur potentiel à perturber et à confondre leurs victimes.

Protections de cybersécurité de base pour tout système d’exploitation

Selon Bond, quel que soit le système d’exploitation utilisé par les cyber-cibles potentielles, les mêmes protections de base s’appliquent : ne faites pas de clics risqués, corrigez vos systèmes et utilisez un gestionnaire de mots de passe.

Ces trois mesures simples arrêteront la plupart des cyberattaques. Les logiciels malveillants sans clic sont généralement facilement détectés et corrigés.

Tant que votre système est à jour, vous devriez être en sécurité, a-t-il assuré. Pour empêcher les logiciels malveillants standard qui nécessitent l’intervention de l’utilisateur, évitez les clics risqués.

« Enfin, un gestionnaire de mots de passe de remplissage automatique sera en mesure d’identifier des détails petits mais faciles à manquer comme les certificats SSL, les iframes inter-domaines et les faux sites Web », a-t-il suggéré.

A lire également