Le Lazarus Group , un peu d histoire
Pour ceux qui ne connaisse pas, le Lazarus Group est loin d’être des débutants.
- Piratage de Sony en 2014
- Le ransomware WannaCry
- Attaques contre les sites gouvernementaux sud-coréens de 2009 à 2011
- le vol de plusieurs millions de dollars en 2015
Le Lazarus Group cible les entreprises militaires
Le 8 février 2022, Qualys a détecté une nouvelle campagne de phishing lancée par Lazarus. Se faisant passer pour Lockheed Martin, elles contactent des candidats en recherche d’emploi travaillant dans le secteur militaro-industriels. L’attaque envoie des documents aux demandeurs d emploi prétendant proposer des offres d’emploi. Ces documents comportent des macros malveillantes qui exécutent un shellcode. Grâce à ce hack, Lazarus peut espionner le flux de données, récupérer des datas et activer des taches crons.
Si bien sûr la cible ne bosse pas encore dans un boite cela n’est pas très grave sauf si comme certains elle a dans son ordinateur perso certaines informations sensibles de leurs activités passées.
Mais si cela touche une personne en activité, avec la mise en télétravail vu le COVID alors ils peuvent en plus avoir un accès direct à l’entreprise.
Pour le moment cette campagne de phishing cible des entreprises anglo-saxonnes. Mais cela pourrait s’etendre aux entreprises francophones qui ne sont pas en reste sur l’armement.
Quelle motivation derrière cette attaque ?
Voilà la bonne question a se poser. Toutes attaques informatiques qui tentent de mettre à mal la cybersécurité de la cible est forcément motivée pour une raison. Au vu de la situation géo-politique actuelle , une attaque massive sur des entreprises militaires peut s’expliquer par la revente d’informations sensibles aux forces adverses. Traduction le groupe formé par la Russie, la Chine et la Corée du Nord. Même si cela reste de la spéculation car aucune preuve n’est disponible.
Quelle est la menace pour la cybersécurité des cibles ?
Comme je l’ai déjà évoqué précédemment, le groupe Lazarus est loin d’être des débutants et on peut donc légitimement se poser la question de l’ampleur de l’attaque. Est ce que cette campagne de phishing n’est pas le prémices à une attaque d’envergure.
En effet je le rappelle pour les néophytes , mais lors d’une cyberattaque la première phase reste la reconnaissance. On doit récupérer un maximum d’informations sur la cible.
Clairement la sélection des cibles relève de l’OSINT surement via linkedin ou autres réseaux sociaux.
Le lancement de la campagne de phishing est la seconde étape pour récolter de l’information non publique et critique.
Maintenant grâce à ces données les hackers peuvent analyser plus finement ses cibles et passer à la phase d’infiltration. Comme pour le groupe Sony, où ils ont reussi à rester indétectables dans leur réseaux pendant des mois.
C’est d’ailleurs une des grande force de ce groupe qui sait être extrêmement discret. Les entreprises ont donc tout intérêts d’analyser leur flux de données et de leur logs avec une extrêmes précautions.