Dans ce qui semble être une première sur la scène du cyberespionnage, un groupe de pirates informatiques soutenu par un État a utilisé une extension Google Chrome pour infecter les victimes et voler les mots de passe et les cookies de leurs navigateurs.

C’est la première fois qu’un APT (Advanced Persistent Threat – un terme industriel pour désigner des groupes de piratage d’États-nations) utilise une extension Chrome dans le cadre d’une attaque. Ce n’est pas la première fois qu’une APT a recours à une extension de navigateur, comme ce fut le cas de l’APT Turla, qui a déjà utilisé un add-on Firefox en 2015 [1, 2].

Dans un rapport publié par l’équipe ASERT de Netscout, les chercheurs révèlent les détails d’une campagne de phishing utilisant une extension Chrome malveillante depuis au moins mai 2018.

Les pirates ont utilisé des courriels d’hameçonnage pour attirer les victimes sur des sites Web copiés d’organisations universitaires légitimes. Ces sites de phishing, à présent hors service, présentaient un document PDF bénin mais empêchaient les utilisateurs de le consulter, redirigeant leurs victimes vers la page officielle du Chrome Web Store pour installer une extension Chrome (aujourd’hui supprimée) appelée Auto Font Manager.

 

Les chercheurs de Netscout ont expliqué que l’extension avait la capacité de voler à la fois les cookies et les mots de passe des sites, mais ils ont également vu des vols d’emails sur certains comptes compromis.

Les chercheurs de Netscout ont déclaré à ZDNet que les campagnes de spear-phishing utilisant cette extension Chrome ciblaient le secteur universitaire, mais ils ne souhaitaient pas encore divulguer le nom des victimes. “Nous avons identifié trois universités basées aux États-Unis et une institution à but non lucratif basée en Asie qui ont été visés par cette campagne”, ont déclaré des chercheurs.

“Un grand nombre de victimes, dans plusieurs universités, possédaient une expertise en génie biomédical, suggérant peut-être une motivation pour cibler les attaquants”, ont ajouté les chercheurs dans leur rapport.

Mais en examinant ces récentes attaques, les chercheurs ont également découvert que la même infrastructure hébergeant ces sites de phishing avait déjà été utilisée dans une autre campagne de piratage reposant sur la pénétration dans les réseaux des universités via des connexions RDP (Remote Desktop Connections).

Netscout a déclaré à ZDNet que “les deux activités distinctes ont une infrastructure partagée et des victimes qui se recoupent, mais il est difficile de savoir qui est arrivé en premier”.

Les enquêteurs ont également ajouté que les responsables de cette campagne récente, baptisée Stolen Pencil, ont bâclé le travail lorsqu’il s’est agi de cacher leurs traces. Les chercheurs ont déclaré avoir trouvé des preuves suggérant que le groupe pourrait être basé en Corée du Nord.

“Les erreurs de sécurité opérationnelles ont amené les utilisateurs à trouver des navigateurs Web ouverts en coréen, des traducteurs anglais vers coréen ouverts sur leurs machines et des claviers passés en paramètres coréens”, ont déclaré des chercheurs.

Cependant, alors que les chercheurs de Netscout ne souhaitaient pas lier cette campagne à un groupe APT nord-coréen, ZDNet.com a montré le hash du fichier d’extension Chrome à plusieurs sources de l’industrie de la securité. Ces derniers estiment que celle ci est utilisée par un groupe de cyber-espionnage connu sous le nom de Kimsuky (également connu sous le nom de Velvet Chollima).

Un rapport de 2013 de Kaspersky Lab présentait des éléments liant le groupe au régime nord-coréen. Le même rapport a également détaillé la propension de Kimsuky à viser des objectifs académiques, les mêmes que ceux ciblés par cette dernière campagne.

En ce qui concerne les pirates informatiques, les chercheurs de Netscout ont déclaré à ZDNet qu’ils “n’ont vu aucune preuve de vol de données, mais comme toute intrusion, nous ne pouvons pas écarter totalement cette possibilité. Aucun des outils ou des commandes n’était spécifiquement destiné au vol d’informations. Ils étaient concentrés sur le vol d’identifiants de connexion et le maintien d’accès. ”

Les universités ont toujours constitué une cible de choix pour les pirates informatiques des États, en particulier ceux qui recherchent des informations confidentielles ou des recherches inédites. On sait que les pirates informatiques chinois et russes s’attaquent régulièrement au secteur universitaire, mais les pirates iraniens restent les plus actifs.

Au mois de mars 2018, les États-Unis ont inculpé 10 Iraniens pour le piratage de 320 universités dans 22 pays, dont 144 aux États-Unis. Certains des documents de recherche que les pirates ont volés ont finalement été publiés en ligne sur des portails d’accès payant gérés par certains des pirates inculpés. Ces derniers ont trouvé un moyen de générer des bénéfices secondaires de leurs campagnes de piratage quotidiennes parrainées par l’État. Les actes d’accusation n’ont toutefois pas empêché les pirates iraniens de continuer leurs attaques.

Cet article est une traduction de “Cyber-espionage group uses Chrome extension to infect victims” initialement publié sur ZDNet.com

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.