Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonUn nouveau groupe d'espionnage cible les télécoms avec "précision"
Un acteur de la menace jusqu'alors inconnu cible les entreprises de télécommunications du Moyen-Orient dans ce qui semble être une campagne de cyberespionnage similaire à de nombreuses autres qui ont frappé des organisations de télécommunications dans plusieurs pays ces dernières années.
Les chercheurs de SentinelOne qui ont repéré la nouvelle campagne ont déclaré qu'ils la suivaient sous le nom de WIP26, une désignation que l'entreprise utilise pour une activité qu'elle n'a pas été en mesure d'attribuer à un groupe de cyberattaques spécifique.
Dans un rapport publié cette semaine, ils ont noté qu'ils avaient observé WIP26 utiliser une infrastructure de cloud public pour diffuser des logiciels malveillants et stocker des données exfiltrées, ainsi qu'à des fins de commande et de contrôle (C2). Le fournisseur de sécurité a estimé que l'auteur de la menace utilise la tactique - comme beaucoup d'autres le font de nos jours - pour échapper à la détection et rendre son activité plus difficile à repérer sur les réseaux compromis.
"L'activité WIP26 est un exemple pertinent d'acteurs de la menace qui innovent en permanence dans leurs TTP [tactiques, techniques et procédures] dans le but de rester furtifs et de contourner les défenses", a déclaré la société.
Les attaques observées par SentinelOne commençaient généralement par des messages WhatsApp adressés à des individus spécifiques au sein d'entreprises de télécommunications cibles au Moyen-Orient. Les messages contenaient un lien vers un fichier d'archive dans Dropbox censé contenir des documents sur des sujets liés à la pauvreté pertinents pour la région. Mais en réalité, il comprenait également un chargeur de logiciels malveillants.
Les utilisateurs amenés à cliquer sur le lien se sont retrouvés avec deux portes dérobées installées sur leurs appareils. SentinelOne a trouvé l'un d'entre eux, suivi sous le nom de CMD365, utilisant un client Microsoft 365 Mail comme C2, et la deuxième porte dérobée, baptisée CMDEmber, utilisant une instance Google Firebase dans le même but.
Le fournisseur de sécurité a décrit WIP26 comme utilisant les portes dérobées pour effectuer des reconnaissances, élever les privilèges, déployer des logiciels malveillants supplémentaires - et pour voler les données du navigateur privé de l'utilisateur, des informations sur les systèmes de grande valeur sur le réseau de la victime et d'autres données. SentinelOne a évalué qu'une grande partie des données collectées par les deux portes dérobées auprès des systèmes et du réseau des victimes suggèrent que l'attaquant se prépare à une future attaque.
"Le vecteur d'intrusion initial que nous avons observé impliquait un ciblage de précision", a déclaré SentinelOne. "En outre, le ciblage des fournisseurs de télécommunications au Moyen-Orient suggère que le motif de cette activité est lié à l'espionnage."
WIP26 est l'un des nombreux acteurs de la menace qui ont ciblé les entreprises de télécommunications au cours des dernières années. Certains des exemples les plus récents – comme une série d'attaques contre des sociétés de télécommunications australiennes telles qu'Optus, Telestra et Dialog – étaient motivés par des raisons financières. Les experts en sécurité ont souligné ces attaques comme un signe d'intérêt accru pour les entreprises de télécommunications parmi les cybercriminels qui cherchent à voler les données des clients ou à détourner des appareils mobiles via ce que l'on appelle des schémas d'échange de cartes SIM.
Plus souvent cependant, le cyberespionnage et la surveillance ont été les principales motivations des attaques contre les fournisseurs de télécommunications. Les fournisseurs de sécurité ont signalé plusieurs campagnes où des groupes de menaces persistantes avancées de pays comme la Chine, la Turquie et l'Iran ont pénétré dans le réseau d'un fournisseur de communication afin qu'ils puissent espionner des individus et des groupes d'intérêt pour leurs gouvernements respectifs.
Un exemple est l'opération Soft Cell, où un groupe basé en Chine a fait irruption dans les réseaux de grandes entreprises de télécommunications du monde entier pour voler des enregistrements de données d'appel afin de pouvoir suivre des individus spécifiques. Dans une autre campagne, un acteur menaçant suivi sous le nom de Light Basin a volé l'identité de l'abonné mobile (IMSI) et les métadonnées des réseaux de 13 principaux opérateurs. Dans le cadre de la campagne, l'auteur de la menace a installé des logiciels malveillants sur les réseaux des opérateurs, ce qui lui a permis d'intercepter les appels, les SMS et les enregistrements d'appels des personnes ciblées.