Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le cyber espionnage continue à proliférer : La menace d’APT32 pour les compagnies multinationales

mai 2017 par Nick Carr - SENIOR MANAGER FOR MANDIANT INCIDENT RESPONSE AT FIREEYE

Des acteurs de cyber espionnage, désignés par FireEye sous le nom d’APT32 (Groupe OceanLotus), mènent activement des intrusions au sein d’entreprises privées dans de multiples industries, et ont également ciblé des gouvernements, des dissidents et des journalistes. FireEye estime qu’APT32 s’appuie sur une suite spécifique de malwares aux fonctionnalités complètes, en conjonction avec d’autres outils disponibles sur le marché, pour conduire des opérations ciblées qui sont alignées avec les intérêts nationaux du Vietnam.

APT32 cible les activités d’entreprises du secteur privé en Asie du Sud Est
Depuis 2014 au moins, FireEye a observé APT32 ciblant des entreprises étrangères ayant des intérêts directs dans les secteurs de l’industrie manufacturière, des produits de consommation et de l’hôtellerie au Vietnam. De plus, il existe des indications que les acteurs d’APT32 ciblent des entreprises spécialisées dans la sécurité des réseaux et dans l’infrastructure informatique, ainsi que des sociétés de consulting pouvant être liées avec des investisseurs étrangers.

Voici le détail des intrusions analysées par FireEye qui sont attribuées à APT32 depuis 2014 :

• En 2014, une entreprise européenne a été attaquée avant de construire une usine de fabrication au Vietnam.
• En 2016, des entreprises vietnamiennes et étrangères travaillant dans les secteurs de la sécurité réseau, de l’infrastructure informatique, de la banque et des médias ont été ciblées.
• Au milieu de l’année 2016, un malware que FireEye pense être spécifique à APT32 a été détecté sur les réseaux d’un acteur mondial du secteur de l’hôtellerie ayant prévu d’étendre ses opérations au Vietnam.
• En 2016 et 2017, deux filiales d’entreprises de produits de consommation américaine et philippine, opérant au Vietnam, ont été la cible d’intrusions de la part d’APT32.
• En 2017, APT32 a attaqué les bureaux d’une société multinationale de consulting.

Les activités d’APT32 dans le domaine de la politique et des relations internationales
En complément de ses activités en direction du secteur privé ayant des liens avec le Vietnam, APT32 a également ciblé des gouvernements étrangers, ainsi que des dissidents et des journalistes vietnamiens au moins depuis 2013. Voici le détail de cette activité :
• Un blog public publié par l’Electronic Frontier Foundation a indiqué que des journalistes, des activistes, des dissidents et des blogueurs ont été ciblés en 2013 par des malwares et des tactiques liés aux opérations d’APT32.
• En 2014, APT32 a exploité un attachement d’harponnage (spear phishing) intitulé : « Plans pour lutter contre les manifestants à l’ambassade du Vietnam.exe, » qui ciblait les activités de dissidents dans la diaspora vietnamienne en Asie du Sud Est. Egalement en 2014, APT32 a mené une intrusion au sein du Parlement d’un pays occidental.
• En 2015, SkyEye Labs, la division de recherche en matière de sécurité de la société chinoise Qihoo 360, a publié un rapport détaillant des acteurs de menace ciblant des organisations chinoises publiques et privées, dont des agences gouvernementales, des instituts de recherche, des agences maritimes et des entreprises de transport et de construction navale. Les informations contenues dans ce rapport indiquaient que les attaquants utilisaient les mêmes malwares, la même infrastructure et les mêmes cibles que ceux d’APT32.
• En 2015 et 2016, deux médias vietnamiens ont été ciblés avec un malware que FireEye estime être spécifique à APT32.
• En 2017, le contenu d’ingénierie sociale dans les leurres utilisées par un acteur a fourni la preuve que l’attaque visait probablement des membres de la diaspora vietnamienne en Australie ainsi que des employés gouvernementaux aux Philippines.

Tactiques employées par APT32

Dans ses attaques, APT32 a exploité des fichiers ActiveMime et emploi des méthodes d’ingénierie sociale pour inciter la victime à déclencher des macros. En s’exécutant, le fichier télécharge de multiples contenus malicieux provenant de serveurs distants. Les acteurs d’APT32 continuent aujourd’hui de délivrer des contenus malicieux via des emails de phishing.

Les acteurs d’APT32 ont conçu des documents leurre en plusieurs langues adaptés à des victimes spécifiques. Même si ces fichiers avaient des extensions « .doc », les leurres de phishing récupérés étaient des pages web ActiveMime « .mht » contenant des textes et des images. Ces fichiers été probablement créées en exportant des documents Word dans des fichiers de pages web.

Les opérateurs d’APT32 ont mis en œuvre plusieurs techniques novatrices pour suivre l’efficacité de leurs attaques de phishing, contrôler la distribution de leurs documents malicieux et établir des mécanismes persistants pour mettre à jour dynamiquement les portes dérobées injectées dans la mémoire des machines de leurs cibles.
Afin de suivre qui ouvrait les emails de phishing, visualisait les liens et téléchargeait les attachements en temps réel, APT32 a utilisé un logiciel d’email analytics en mode cloud utilisé par des entreprises commerciales. Dans certains cas, APT32 a abandonné complètement l’usage d’attachements par email pour s’appuyer exclusivement sur cette technique de suivi avec des liens vers ses leurres ActiveMime hébergés à distance sur des services légitimes de stockage dans le cloud.
Pour améliorer sa visibilité sur la distribution de ses leurres de phishing, APT32 a utilisé la fonctionnalité native de page web de ses documents ActiveMime pour se connecter à des images hébergées à distance dans l’infrastructure qu’il contrôlait.

Malware et Infrastructure d’APT32

APT32 semble disposer de ressources de développement étendues et utilise une suite personnalisée de portes dérobées qui couvre de multiples protocoles. Les opérations d’APT32 se caractérisent par le déploiement de malwares dont les signatures comprennent WINDSHIELD, KOMPROGO, SOUNDBITE et PHOREAL. APT32 déploie souvent ces portes dérobées conjointement avec la porte dérobée Cobalt Strike BEACON disponible sur le marché. APT32 possède également des capacités de développement de portes dérobées pour macOS.

Perspectives et Implications

Sur la base d’enquêtes en réponse à des incidents, de détections de produits, d’observations émanant d’analystes de renseignement, ainsi que de publications complémentaires, FireEye estime qu’APT32 est un groupe de cyber espionnage aligné avec les intérêts du gouvernement du Vietnam. Le ciblage d’intérêts privés par APT32 est notable et FireEye pense que cet acteur représente un risque significatif pour des entreprises qui font des affaires, ou qui se préparent à investir dans le pays. Bien que la motivation de chacune des attaques d’APT32 contre le secteur privé a varié – et dans certains cas n’a pu être connue, l’intrusion non autorisée a pu servir de base à des enquêtes judiciaires, des vols de propriété intellectuelle ou des mesures anticorruption pouvant au bout du compte éroder les avantages compétitifs des entreprises ciblées. De plus, APT32 continue de menacer l’activisme politique et la liberté d’opinion en Asie du Sud Est et dans les administrations publiques dans le monde entier. Des gouvernements, des journalistes et des membres de la diaspora vietnamienne pourront continuer à servir de cible.

Bien que des acteurs tels que la Chine, l’Iran, la Russie et la Corée du Nord restent les sources de menaces de cyber espionnage les plus actives que FireEye suit et traite, APT32 reflète un groupe en plein développement de nouveaux pays qui ont adopté cette capacité dynamique. APT32 démontre l’impact que peuvent avoir des capacités offensives si des acteurs disposent des investissements adéquats et de la souplesse nécessaire pour maîtriser des outils et des techniques nouvelles. Un nombre toujours plus important de pays menant des cyber opérations efficaces et peu coûteuses, une prise de conscience du public concernant ces menaces et un dialogue renouvelé sont nécessaires à propos d’intrusions émanant d’états nations qui vont au-delà des cibles du secteur public et du renseignement.


Voir les articles précédents

    

Voir les articles suivants