Les Hackers de Lazarus ciblent les industriels militaires

Lazarus lance une campagne de phishing en se faisant passer pour locheed

Le Lazarus Group , un peu d histoire

Pour ceux qui ne connaisse pas, le Lazarus Group est loin d’être des débutants.

  • Piratage de Sony en 2014
  • Le ransomware WannaCry
  • Attaques contre les sites gouvernementaux sud-coréens de 2009 à 2011
  • le vol de plusieurs millions de dollars en 2015
 
Pour le FBI le groupe de hacker serait piloté par Pyongyang. Mais la dessus pas mal d’expert n’ont aucune certitude à ce sujet. En effet d’habitude les groupes de hackers étatiques ne sont pas dans le détournement de fond. Alors que le Lazarus Group a carrément une branche spécialisée dedans. Après au vu des contraintes imposées à la Corée du Nord sur les marché, ça peut aussi être une forme de financement détournée comme le fait déjà la Corée du Nord avec les cryptomonnaies.
 
En tout cas une chose est sûr, au vu de la précision de leur piratage, c’est un groupe structuré et qui s’est lancé des attaques de grandes ampleurs pouvant mettre la cybersécurité de leurs cibles plus bas que terre.

Le Lazarus Group cible les entreprises militaires

Lazarus phishing
Lazarus se fait passer pour LM

Le 8 février 2022, Qualys a détecté une nouvelle campagne de phishing lancée par Lazarus. Se faisant passer pour Lockheed Martin, elles contactent des candidats en recherche d’emploi travaillant dans le secteur militaro-industriels. L’attaque envoie des documents aux demandeurs d emploi prétendant proposer des offres d’emploi. Ces documents comportent des macros malveillantes qui exécutent un shellcode. Grâce à ce hack, Lazarus peut espionner le flux de données, récupérer des datas et activer des taches crons.

 

Si bien sûr la cible ne bosse pas encore dans un boite cela n’est pas très grave sauf si comme certains elle a dans son ordinateur perso certaines informations sensibles de leurs activités passées.

Mais si cela touche une personne en activité, avec la mise en télétravail vu le COVID alors ils peuvent en plus avoir un accès direct à l’entreprise.

Pour le moment cette campagne de phishing cible des entreprises anglo-saxonnes. Mais cela pourrait s’etendre aux entreprises francophones qui ne sont pas en reste sur l’armement.

Quelle motivation derrière cette attaque ?

Voilà la bonne question a se poser. Toutes attaques informatiques qui tentent de mettre à mal la cybersécurité de la cible est forcément motivée pour une raison. Au vu de la situation géo-politique actuelle , une attaque massive sur des entreprises militaires peut s’expliquer par la revente d’informations sensibles aux forces adverses. Traduction le groupe formé par la Russie, la Chine et la Corée du Nord. Même si cela reste de la spéculation car aucune preuve n’est disponible.

 

lazarus logo

Quelle est la menace pour la cybersécurité des cibles ?

Comme je l’ai déjà évoqué précédemment, le groupe Lazarus est loin d’être des débutants et on peut donc légitimement se poser la question de l’ampleur de l’attaque. Est ce que cette campagne de phishing n’est pas le prémices à une attaque d’envergure.

En effet je le rappelle pour les néophytes , mais lors d’une cyberattaque la première phase reste la reconnaissance. On doit récupérer un maximum d’informations sur la cible.

Clairement la sélection des cibles relève de l’OSINT surement via linkedin ou autres réseaux sociaux.

Le lancement de la campagne de phishing est la seconde étape pour récolter de l’information non publique et critique.

Maintenant grâce à ces données les hackers peuvent analyser plus finement ses cibles et passer à la phase d’infiltration. Comme pour le groupe Sony, où ils ont reussi à rester indétectables dans leur réseaux pendant des mois.

C’est d’ailleurs une des grande force de ce groupe qui sait être extrêmement discret. Les entreprises ont donc tout intérêts d’analyser leur flux de données et de leur logs avec une extrêmes précautions.

Twitter
LinkedIn
WhatsApp
Reddit
Facebook