"Darkhotel" attaque à nouveau
Après le piratage de la société italienne Hacking Team, fournisseur de logiciels d'espionnage pour les gouvernements et les forces de l'ordre, révélé début juillet 2015, certains groupes de cyberespionnage utilisent désormais les outils récupérés pour mener leurs attaques malveillantes.
Les exploits visent les failles de sécurité d'Adobe Flash Player et de Windows. L'un de ces exploits au moins est utilisé par le puissant groupe Darkhotel, qui s'en sert à nouveau pour attaquer de manière accrue les cadres, le plus souvent dans les hôtels.
Ce n'est pas la première fois que "Darkhotel" exploite des failles de sécurité zero-day. Kaspersky Lab suppose que le groupe de cyberespionnage a utilisé une bonne demi-douzaine d'exploits zero-day au cours des dernières années, visant principalement Adobe Flash Player. Pour se les procurer, "Darkhotel" a apparemment investi des sommes considérables. Avec la vague d'attaques actuelle en 2015, le groupe a élargi son rayon d'action dans le monde entier, avec des attaques de spearphishing ciblées sur des victimes en Allemagne ainsi qu'en Corée du Nord et du Sud, en Russie, au Japon, au Bangladesh, en Thaïlande, en Inde et au Mozambique.
Aide involontaire
Le groupe Darkhotel, spécialisé dans les attaques APT (Advanced Persistent Threats), est actif depuis près de huit ans. Leurs méthodes comprennent l'utilisation de techniques d'ingénierie sociale, le vol de certificats de sécurité et la compromission de réseaux WLAN dans les hôtels. La nouveauté réside désormais dans l'utilisation d'exploits zero-day issus du stock de Hacking Team. Voici un aperçu de ces méthodes :
- Le groupe continue d'utiliser des certificats volés dans son stock. Ils sont utilisés pour les téléchargeurs et les chevaux de Troie de porte dérobée afin de tromper le système attaqué. Les certificats utilisés récemment proviennent de la société Xuchang Hongguang Technology Co. Ltd.
- Spearphishing inlassable : les attaques APT de Darkhotel se répètent à plusieurs mois d'intervalle sur la même cible, en utilisant les mêmes schémas d'ingénierie sociale.
- Utilisation d'un exploit zero-day : le site web compromis "tisone360.com" contient tout un arsenal de chevaux de Troie backdoor et d'exploits, dont l'exploit zero-day de Hacking Team.
"Darkhotel est de retour avec un autre exploit pour Adobe Flash Player, et cette fois-ci, l'exploit semble être lié à la fuite de Hacking Team", explique Kurt Baumgartner, Principal Security Researcher chez Kaspersky Lab.
Une analyse des nouvelles attaques de "Darkhotel" est ici disponibles.
