Freely subscribe to our NEWSLETTER

Depuis la mise en place d’une infrastructure d’espionnage à l’intérieur d’un pays pour l’établissement de connexions et l’exfiltration de données en temps réel jusqu’à des outils d’espionnage comportant 48 commandes, une nouvelle étude de Kaspersky Lab montre comment la menace Naikon infiltre avec succès, depuis cinq ans, des organismes publics dans le secteur de la mer de Chine méridionale.
Les experts de la société ont découvert que les auteurs des attaques Naikon parlent apparemment la langue chinoise et ciblent principalement des administrations et des organismes militaires et civils de haut niveau dans des pays tels que la Chine, Malaisie, Cambodge, Indonésie, Vietnam, Birmanie, Singapour, Népal, Thaïlande, Laos et Philippines.

Kaspersky Lab a identifié plusieurs caractéristiques marquantes de la campagne Naikon :

? Affectation à chaque pays ciblé d’un opérateur humain, ayant pour tâche d’exploiter les traits culturels de ce pays, par exemple une tendance à se servir de comptes e-mail personnels pour le travail.
? Mise en place d’une infrastructure (serveur proxy) à l’intérieur d’un pays pour l’établissement de connexions et l’exfiltration de données en temps réel et quotidiennement.
? Au moins cinq années d’attaques géopolitiques intensives, de grande envergure.
? Code indépendant de la plate-forme, capable d’intercepter l’ensemble du réseau trafic.
? 48 commandes dans l’arsenal de l’outil d’administration à distance, notamment pour dresser un inventaire complet, transférer des données dans les deux sens, installer des modules additionnels ou encore exécuter des instructions en ligne de commande.

La campagne de cyberespionnage Naikon a été évoquée pour la première fois par Kaspersky Lab dans sa récente étude, « The Chronicles of the Hellsing APT: the Empire Strikes Back », indiquant que cette menace a joué un rôle crucial dans ce qui s’est révélé un cas unique de représailles dans le monde des menaces persistantes avancées (APT). Hellsing est en effet un autre acteur sur la scène des menaces, qui a décidé de se venger après avoir été attaqué par Naikon.

« Les criminels qui se cachent derrière les attaques Naikon sont parvenus à concevoir une infrastructure très souple qui peut être déployée dans tout pays ciblé, afin d’exfiltrer les informations depuis les systèmes victimes jusqu’au centre de commande. S’ils décident ensuite de s’attaquer à une autre cible dans un autre pays, il leur suffit d’établir une nouvelle connexion. La présence d’opérateurs spécialisés qui se concentrent sur leur propre groupe de cibles facilite également la tâche du groupe d’espionnage Naikon », explique Kurt Baumgartner, chercheur principal en sécurité au sein de l’équipe GReAT de Kaspersky Lab.

Naikon cible ses victimes potentielles au moyen de techniques classiques de spear-phishing (harponnage), avec des e-mails comportant des pièces jointes censées éveiller l’intérêt du destinataire. Le fichier joint se présente comme un document Word mais est en fait un exécutable dont l’extension réelle est masquée.

Kaspersky Lab conseille aux entreprises de se protéger contre Naikon en observant les précautions suivantes :
• Ne pas ouvrir les pièces jointes et les liens provenant d’expéditeurs inconnus.
• Utiliser une solution antimalware avancée.
• En cas de doute sur une pièce jointe, essayer de l’ouvrir dans une zone de quarantaine.
• Veiller à disposer d’un système d’exploitation récent et à y installer tous les correctifs de sécurité.

Kaspersky Lab protège les utilisateurs contre cette menace, en utilisant la fonction Automatic Exploit Prevention pour détecter les composants de Naikon, à savoir Exploit.MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent et Backdoor.Win32.Agent.