Un groupe de hackers utilise des techniques minières pour rester caché

Un groupe de hackers utilise des techniques minières pour rester caché
Ecrit par :
Jinia Shawdagor
décembre 3, 2020
  • BISMUTH est opérationnel depuis 2012, mais n'a commencé à utiliser des mineurs XMR que récemment.
  • Selon Microsoft, les mineurs ne sont pas considérés comme des menaces graves.
  • Éduquer les utilisateurs finaux sur la protection des données personnelles est pourrait freiner ces attaques.

Selon l’équipe de Microsoft 365 Defender Threat Intelligence, BISMUTH, un acteur de la menace d’un État-nation, profite des techniques de crypto-minage pour masquer ses attaques. L’équipe a dévoilé cette nouvelle dans un rapport réalisé le 30 novembre, notant que le groupe de hackers publie désormais des logiciels malveillants de crypto-minage en plus de ses outils de cyber espionnage réguliers.

Selon le rapport, BISMUTH a lancé des attaques de cyber espionnage sophistiquées depuis 2012, en exploitant à la fois des outils personnalisés et open source. Le groupe aurait ciblé de grandes sociétés multinationales, des services financiers gouvernementaux, des établissements d’enseignement et des organisations de défense des droits humains et civils. Cependant, les attaques les plus récentes de BISMUTH ont pris une nouvelle forme, selon l’équipe de renseignement sur les menaces de Microsoft. Par exemple, l’équipe a mis en avant les attaques du groupe de juillet à août 2020, notant que le groupe avait lancé des mineurs de monero (XMR), ciblant à la fois des institutions privées et gouvernementales en France et au Vietnam.

Vous recherchez des nouvelles rapides, des conseils pratiques et des analyses de marché ? Inscrivez-vous à la newsletter Invezz, dès aujourd'hui.

Expliquant comment BISMUTH a réussi à mener ces attaques, l’équipe de Microsoft 365 Defender Threat Intelligence a déclaré :

« Les mineurs de crypto-monnaie sont généralement associés à des opérations cybercriminelles et non à des activités sophistiquées d’acteurs de l’État-nation. Ce ne sont pas les menaces les plus sophistiquées, ce qui signifie également qu’elles ne font pas partie des problèmes de sécurité les plus critiques que les défenseurs traitent de toute urgence. »

À ce titre, le groupe a profité des alertes de faible priorité des crypto-mineurs pour tenter d’établir sa persistance en volant sous le radar.

Se fondre pour créer un lien de confiance avec les cibles

Selon l’équipe Microsoft 365 Defender Threat Intelligence, l’objectif opérationnel de BISMUTH consistant à établir une surveillance continue et à extraire les données utiles lorsqu’elles apparaissent est resté inchangé. Cependant, l’utilisation de mineurs XMR a ouvert une passerelle pour que d’autres attaquants monétisent les réseaux compromis. L’équipe a admis que l’utilisation de crypto-mineurs était inattendue. Néanmoins, l’équipe n’a pas tardé à ajouter que le mouvement était cohérent avec la méthode de fusion du groupe.

L’équipe de renseignement sur les menaces a noté que :

« Ce schéma de fusion est particulièrement évident dans ces attaques récentes, à partir de la phase d’accès initiale : des e-mails de spear-phishing spécialement conçus pour un destinataire spécifique d’une organisation cible et montrant des signes de reconnaissance préalable. Dans certains cas, le groupe correspondait même aux cibles, renforçant encore davantage la crédibilité pour convaincre les cibles d’ouvrir l’attachement malveillant et de démarrer la chaîne d’infection. »

Selon le rapport, l’utilisation de crypto-mineurs a permis à BISMUTH de cacher plus d’activités nuisibles derrière des menaces que de nombreux systèmes l’ont fait passer pour des logiciels malveillants de base. La publication a poursuivi en indiquant que lorsqu’ils traitaient des chevaux de Troie de banques de produits de base qui introduisaient des ransomwares gérés par l’homme, les opérateurs de réseau devraient traiter d’urgence les infections issues de logiciels malveillants, car ils peuvent indiquer le début d’attaques plus sophistiquées.

Moyens efficaces pour freiner ces attaques

Décrivant certaines des façons dont les organisations peuvent renforcer leur résilience contre de telles attaques, le rapport note que les réseaux devraient éduquer leurs utilisateurs finaux sur la protection de leurs informations personnelles et professionnelles sur les réseaux sociaux. Le rapport recommandait également aux utilisateurs de configurer les paramètres de filtrage des e-mails d’Office 365, d’activer les règles de réduction de surface, d’interdire les macros ou d’autoriser uniquement les macros provenant d’emplacements connus et de vérifier les paramètres de pare-feu et de proxy de périmètre pour empêcher les serveurs d’établir des connexions arbitraires à Internet.

En plus de cela, la publication a suggéré aux utilisateurs d’appliquer des mots de passe d’administrateur forts et aléatoires, d’utiliser l’authentification multifactorielle et d’éviter l’utilisation de comptes de service de niveau administrateur à l’échelle du domaine.