Les opérations étudiées par les chercheurs d’ESET commençaient par un message LinkedIn. « Le message était une offre d’emploi tout à fait crédible, apparemment émanant d’une entreprise bien connue dans un secteur pertinent. Bien sûr, le profil LinkedIn était factice, et les fichiers envoyés durant la communication étaient malveillants, » commente Dominik Breitenbacher, le chercheur d’ESET qui a analysé le malware et mené l’enquête.

Les fichiers étaient envoyés directement via la messagerie LinkedIn, ou par email avec un lien vers OneDrive. Pour cette seconde option, les pirates ont créé des comptes de messagerie correspondant à leurs profils LinkedIn factices.
Lorsque le destinataire ouvrait le fichier, un document PDF apparemment inoffensif présentait des informations relatives au salaire de la fausse offre d’emploi. Pendant ce temps, un malware était silencieusement déployé sur l’ordinateur de la victime. De cette façon, les pirates pouvaient établir un premier contact et une présence persistante dans le système.

Ils effectuaient ensuite une série d’actions que les chercheurs d’ESET ont décrit dans leur livre blanc « Opération In(ter)ception : Attaques ciblées contre des entreprises européennes des secteurs de l’aérospatiale et de la défense. Des malwares à plusieurs étapes, souvent déguisés en logiciels légitimes, et des versions modifiées d’outils open source faisaient partie des outils utilisés par les pirates. Ils ont également utilisé des tactiques dites « living off the land », qui détournent des utilitaires Windows préinstallés pour les obliger à effectuer différentes actions malveillantes.

« Les attaques que nous avons étudiées présentaient tous les signes de campagnes d’espionnage, avec plusieurs indices suggérant un lien possible avec le groupe Lazarus. Cependant, ni l’analyse des malwares ni l’enquête ne nous ont permis de déterminer les fichiers ciblés par les pirates, » ajoute M. Breitenbacher.

Outre l’espionnage, les chercheurs d’ESET ont pu déterminer avec certitude que les pirates ont tenté d’utiliser les comptes compromis pour soutirer de l’argent à d’autres entreprises.

Parmi les emails d’une victime, les pirates ont trouvé une communication entre la victime et un client au sujet d’une facture impayée. Ils ont poursuivi la conversation et ont exhorté le client à régler la facture, bien sûr, à destination de leur propre compte bancaire. Heureusement, l’entreprise cliente s’est méfiée et a contacté la victime directement, contrecarrant ainsi la tentative des pirates de mener une attaque dite d’usurpation de messagerie professionnelle.

« Cette tentative de monétiser l’accès au réseau de la victime devrait servir de raison supplémentaire à la fois pour établir des défenses solides contre les intrusions, et dispenser une formation de cybersécurité aux collaborateurs. Cette démarche de sensibilisation pourrait aider les collaborateurs à reconnaître des techniques d’ingénierie sociale moins connues, comme celles utilisées dans l’Opération In(ter)ception, » conclut M. Breitenbacher.