Une nouvelle attaque de la chaîne d’approvisionnement de Lazarus

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont récemment découvert des tentatives de déploiement du malware Lazarus via unla technique dite d’attaque de la chaîne d’approvisionnement (Supply chain attack) en Corée du Sud. Afin d’installer leur malware, les attaquants ont utilisé un mécanisme inhabituel, détournant un logiciel de sécurité sud-coréen légitime et des certificats volés à deux sociétés différentes. Dans ce contexte, l’attaque a été facilitée car les internautes sud-coréens sont souvent invités à installer des logiciels de sécurité supplémentaires lorsqu’ils consultent des sites gouvernementaux ou des sites bancaires.

« Pour comprendre cette nouvelle attaque contre la chaîne d’approvisionnement, vous devez savoir que WIZVERA VeraPort est un programme d’installation d’intégration sud-coréen qui permet de gérer ce type de logiciel de sécurité supplémentaire. Lorsque WIZVERA VeraPort est installé, les utilisateurs reçoivent et installent tous les logiciels nécessaires requis par un site web spécifique. Très peu d’interactions avec les utilisateurs sont nécessaires pour démarrer l’installation d’un tel logiciel, » explique Anton Cherepanov, le chercheur d’ESET qui a mené l’enquête sur l’attaque. « Ce logiciel est généralement utilisé par les sites web du gouvernement et des banques en Corée du Sud. Pour certains de ces sites, l’installation de WIZVERA VeraPort est obligatoire, » ajoute M. Cherepanov.

Les pirates ont également utilisé des certificats de signature de code obtenus illégalement pour signer les échantillons du malware. Il est intéressant de noter que l’un de ces certificats a été délivré à la succursale américaine d’une société de sécurité sud-coréenne. « Les pirates ont fait passer les échantillons malveillants de Lazarus pour un logiciel légitime. Ces échantillons ont des noms de fichiers, des icônes et des ressources similaires à ceux des logiciels sud-coréens légitimes, » explique Peter Kálnai, chercheur d’ESET qui a analysé l’attaque de Lazarus avec Anton Cherepanov. « C’est la combinaison de sites web compromis avec le soutien de WIZVERA VeraPort et des options de configuration spécifiques de VeraPort qui a permis aux pirates de réaliser cette attaque, » ajoute M. Kálnai.

ESET Research a de fortes raisons d’attribuer l’attaque à Lazarus, car elle fait suite à ce que le KrCERT a nommé Operation BookCodes, qui est attribuée à Lazarus par certains membres de la communauté des chercheurs en cybersécurité. Les autres raisons sont les caractéristiques typiques des outils : la détection (de nombreux outils sont déjà signalés sous le nom de NukeSped par ESET), le fait que l’attaque a eu lieu en Corée du Sud, qui est un théâtre d’opérations de Lazarus, la nature inhabituelle et personnalisée des méthodes d’intrusion et de le chiffrement utilisées, et la configuration de l’infrastructure réseau.

Il convient de noter que la panoplie d’outils de Lazarus est extrêmement étendue, et ESET estime qu’il existe de nombreux sous-groupes. Contrairement aux outils utilisés par certains autres groupes de cybercriminels, aucun des codes sources des outils de Lazarus n’ont été publiquement fuités jusqu’à présent.

Pour plus de détails techniques sur la dernière attaque de Lazarus contre une chaîne d’approvisionnement, lisez l’article « Lazarus supply-chain attack in South Korea » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

Articles récents

Les plus lus

A lire également