Le r\u00e9seau social LinkedIn est bien pratique pour nouer des contacts professionnels. Malheureusement, c\u2019est \u00e9galement un terrain d\u2019op\u00e9ration pour des hackers probablement nord-cor\u00e9ens qui utilisent cette plate-forme pour pi\u00e9ger des cadres dans les secteurs de la d\u00e9fense et de l\u2019a\u00e9ronautique. Le chercheur en s\u00e9curit\u00e9 Jean-Ian Boutin qui travaille pour\u00a0l’\u00e9diteur de logiciels Eset a r\u00e9cemment d\u00e9tect\u00e9 ce genre d\u2019attaques en Europe et au Moyen-Orient. Un syst\u00e8me qu\u2019il a baptis\u00e9 \u00ab\u00a0Operation In(ter)ception\u00a0\u00bb.<\/p>\n
Op\u00e9rant sous l\u2019apparence d\u2019un recruteur de Collins Aerospace ou General Dynamics, le pirate va entamer une discussion avec la cible et essayer de lui transmettre des documents de candidature sous la forme d\u2019une archive chiffr\u00e9e RAR, prot\u00e9g\u00e9e par un mot de passe. Le fait qu\u2019elle soit chiffr\u00e9e permet de contourner les \u00e9ventuels dispositifs de s\u00e9curit\u00e9 de LinkedIn et de l\u2019entreprise cibl\u00e9e. \u00ab\u00a0Il est difficile de d\u00e9tecter ce genre de transferts malveillants\u00a0\u00bb<\/em>, souligne Jean-Ian Boutin, \u00e0 l\u2019occasion d\u2019une conf\u00e9rence de presse virtuelle.<\/p>\n Si la personne cibl\u00e9e ouvre cette archive, elle verra appara\u00eetre un document RH bidon. Mais derri\u00e8re, en r\u00e9alit\u00e9, il y a un programme qui s\u2019ex\u00e9cute et qui va cr\u00e9er une t\u00e2che planifi\u00e9e dans le syst\u00e8me Windows. Ce malware va ensuite prendre contact avec des serveurs de commande et contr\u00f4le, t\u00e9l\u00e9charger des logiciels de cyberespionnage et les installer sous la forme de fichiers DLL.<\/p>\n Le but principal de ces pirates est de collecter des documents techniques ou des fichiers commerciaux, et de les exfiltrer vers un compte Dropbox, sous la forme d\u2019une archive RAR. Le chercheur d\u2019Eset a \u00e9galement observ\u00e9 des tentatives de fraude, o\u00f9 les pirates ont essay\u00e9 de faire ex\u00e9cuter un faux virement. C\u2019\u00e9tait probablement pour se faire un petit bonus.<\/p>\n Eset reste prudent quant \u00e0 l\u2019attribution de ces attaques, mais constate un certain nombre d\u2019indices techniques qui pointent vers le groupe nord-cor\u00e9en Lazarus<\/a>, connu pour le piratage de Sony Pictures et la diffusion du ransomware WannaCry. Ainsi, le chercheur a d\u00e9tect\u00e9 une backdoor que Lazarus utilise \u00e9galement. Il y a par ailleurs\u00a0des similitudes dans le code et dans l\u2019horodatage.<\/p>\n Pour ne pas se faire pi\u00e9ger, l\u2019\u00e9diteur recommande, entre autres, de former les salari\u00e9s \u00e0 ce type d\u2019attaques. Certains d\u00e9tails permettent en effet de mettre la puce \u00e0 l\u2019oreille\u00a0: un recruteur qui fait des fautes d\u2019anglais, un fichier qu\u2019il faut recevoir et ouvrir imm\u00e9diatement ou\u00a0encore des instructions hors du commun.<\/p>\n<\/p><\/div>\n![\"\"\/](\"https:\/\/img.bfmtv.com\/c\/0\/708\/c703d8\/a1cce6bef1369dd5d08a8ed41e.jpg\")
\n –
\n <\/figcaption><\/figure>\n![\"\"\/](\"https:\/\/img.bfmtv.com\/c\/0\/708\/6c7\/68ef1f5f22f41504dd247febe4f42.jpg\")
\n –
\n <\/figcaption><\/figure>\n![\"\"\/](\"https:\/\/img.bfmtv.com\/c\/0\/708\/e41\/2dc9d24c06ad99ff12a6fd81c7595.jpg\")
\n –
\n <\/figcaption><\/figure>\nDes indices pointent vers le groupe Lazarus<\/h3>\n