Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

McAfee Entreprise publie son rapport sur l’opération "Harvest" : une campagne d’exfiltration de données qui s’étend sur plusieurs années

septembre 2021 par McAfee

L’équipe Advanced Threat Research (ATR) de McAfee Entreprise a publié son rapport sur l’opération "Harvest", une campagne d’exfiltration de données au cours de laquelle un hacker a maintenu un accès pendant plusieurs années pour capturer des données réseau. En travaillant avec l’équipe Professional Services IR sur un cas qui a débuté comme un incident de logiciel malveillant, ils ont découvert que l’attaque s’est finalement avérée être une cyber-attaque à long terme liée à une cyber-offensive d’un État-nation.

Du point de vue du cyber-espionnage, l’équipe ATR fournit une étude approfondie de l’opération à long terme qui permet d’établir les conclusions sur l’entrée, l’affiliation et le motif par rapport au modèle Entreprise MITRE ATT&CK. La télémétrie confirme les conclusions suivantes :

• L’entrée : les enquêtes approfondies ont identifié que l’acteur a établi un accès initial en compromettant le serveur web de la victime qui contenait un logiciel pour maintenir la présence et le stockage d’outils utilisés pour recueillir des informations sur le réseau de la victime et le mouvement latéral/exécution de fichiers.

• L’affiliation : les hackers ont eu recours à des techniques très souvent observées dans ce type d’attaque mais ont également utilisé de nouveaux backdoors distinctifs ou des variantes de familles de logiciels malveillants existantes, presque identiques aux méthodes attribuées à la famille de logiciels malveillants Winnti entre le mode de fonctionnement de la fonction de chiffrement unique dans le backdoor personnalisé et le code utilisé dans la DLL.

• Le motif : l’analyse suggère que le hacker était intéressé par le vol de renseignements exclusifs pouvant être utilisés à des fins militaires ou de propriété intellectuelle/fabrication.

L’équipe McAfee Entreprise affirme que cette opération a été exécutée par un acteur APT expérimenté dont les objectifs à long terme sont la persistance dans les réseaux de leurs victimes et l’acquisition de renseignements nécessaires pour prendre des décisions politiques/stratégiques ou de propriété intellectuelle/fabrication.




Voir les articles précédents

    

Voir les articles suivants