Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hellsing : espion contre espion

avril 2015 par Kaspersky Lab

Kaspersky Lab a observé le cas rare et inhabituel d’une attaque perpétrée par un cybercriminel contre un autre. En 2014, Hellsing, un petit groupe de cyber espions, assez « anodin » sur le plan technique et ciblant principalement des organismes gouvernementaux et diplomatiques en Asie, a fait l’objet d’une attaque de spear-phishing. Cette attaque a été lancée par un autre groupe de cybercriminels et Hellsing a décidé de répliquer. Kaspersky Lab pense que cela pourrait marquer le début d’une nouvelle tendance dans le monde de la cybercriminalité : les guerres des APT (menaces persistantes avancées).

La découverte a été faite par les experts de Kaspersky Lab pendant leurs recherches sur les activités de Naikon, un groupe de cyber espionnage visant des cibles dans la zone Asie-Pacifique. Ces experts ont remarqué que l’une des cibles de Naikon avait repéré la tentative d’infection de ses systèmes par un e-mail de spear-phishing comportant une pièce jointe malveillante.

Le destinataire a vérifié l’authenticité de l’e-mail auprès de l’expéditeur et, apparemment non satisfait de la réponse, n’a pas ouvert la pièce jointe. Peu après, il a renvoyé à l’expéditeur un message contenant un malware de son cru. Cet échange a déclenché une enquête de Kaspersky Lab et abouti à la découverte du groupe Hellsing APT.

Le mode de contre-attaque indique que Hellsing voulait identifier le groupe Naikon et recueillir des informations à son sujet.

Une analyse approfondie de la menace Hellsing par Kaspersky Lab révèle une succession d’e-mails de spear-phishing accompagnés de fichiers malveillants conçus pour propager un spyware entre les différents destinataires. Si l’un d’entre eux ouvre la pièce jointe malveillante, son système est infecté par un backdoor spécifique, capable de télécharger des fichiers, de se mettre à jour et de se désinstaller. D’après les observations de Kaspersky Lab, Hellsing compte près d’une vingtaine de victimes.

Les cibles de Hellsing

La société a détecté et bloqué le malware Hellsing en Malaisie, aux Philippines, en Inde, en Indonésie et aux Etats-Unis, les victimes étant les plus nombreuses dans les deux premiers pays. Les auteurs des attaques sont par ailleurs très sélectifs dans le choix de leurs cibles, tentant d’infecter principalement des organismes gouvernementaux et diplomatiques.

« Le fait que le groupe Naikon ait été pris pour cible par Hellsing en représailles est pour le moins fascinant. Par le passé, nous avons assisté à des frappes accidentelles entre groupes APT, résultant du vol du carnet d’adresses des victimes puis d’un envoi massif à tous les destinataires répertoriés. Cependant, compte tenu du caractère ciblé et de l’origine de l’attaque, il paraît plus probable qu’il s’agisse d’un cas d’attaque délibérée entre APT », commente Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab.

Selon l’analyse Kaspersky Lab, la menace Hellsing est active depuis au moins 2012 et demeure d’actualité.

Protection

Pour se protéger contre les attaques Hellsing, Kaspersky Lab recommande les précautions élémentaires suivantes :
- Ne pas ouvrir les pièces jointes suspectes provenant d’expéditeurs inconnus.
- Prendre garde aux archives protégées de mot de passe et contenant des fichiers SCR ou d’autres exécutables.
- En cas de doute sur une pièce jointe, essayer de l’ouvrir dans une zone de quarantaine.
- Veiller à disposer d’un système d’exploitation récent et à y installer tous les correctifs de sécurité.
- Mettre à jour toutes les applications telles que Microsoft Office, Java, Adobe Flash Player et Adobe Reader.

Les produits de Kaspersky Lab détectent et bloquent avec succès les malwares Hellsing et Naikon.

Pour en savoir plus sur la menace Hellsing et sa campagne de contre-espionnage, rendez-vous sur Securelist.com.




Voir les articles précédents

    

Voir les articles suivants