Un groupe de pirates informatiques utilise l'extension Chrome et cible le secteur universitaire

article

Un groupe de pirates informatiques, soupçonné d'être originaire de Corée du Nord, utilise une extension de Google Chrome pour cibler les victimes dans le secteur universitaire. ZDNet rapporte: «Dans ce qui semble être une première sur la scène du cyberespionnage, un groupe de piratage soutenu par un État a utilisé une extension de Google Chrome pour infecter les victimes et voler les mots de passe et les cookies de leur navigateur.


Le rapport ZDNet souligne également que c'est la première fois qu'un APT (Advanced Persistent Threat), terme utilisé dans l'industrie pour désigner les groupes de piratage nationaux, exploite une extension Google Chrome. Ce n'est certainement pas la première exploitation de ce type d'une extension de navigateur; un add-on de Mozilla Firefox a été exploité par un APT basé en Russie en 2015.


Selon les rapports, l'attaque est exécutée comme une campagne de spear-phishing qui pousse une extension Google Chrome illicite appelée Auto Font Manager au moins en mai 2018.


Le rapport ZDNet le décrit plus en détail- «Les pirates ont utilisé des courriels d'hameçonnage pour attirer les victimes sur des sites Web copiés d'organisations universitaires légitimes. Ces sites de phishing, à présent inactives, présentaient un document PDF bénin mais empêchaient les utilisateurs de le visualiser, redirigeant leurs victimes vers la page officielle du Chrome Web Store pour installer une extension Chrome (maintenant supprimée) appelée Auto Font Manager. "Un rapport de l'équipe ASERT de NetScout déclare: «ASERT a appris l'existence d'une campagne APT, probablement issue de la RPDC. Nous appelons STOLEN PENCIL, qui vise les institutions universitaires depuis au moins mai 2018. La motivation ultime des attaques est incertaine, mais les acteurs de la menace sont en mesure de nettoyer pour les informations d'identification. "


Le rapport explique en outre: «Les cibles sont envoyées à des courriels de phishing par harponnage qui les conduisent vers un site Web affichant un document sur le leurre et sont immédiatement détectées.


invité à installer une extension Google Chrome illicite. Une fois qu'ils ont pris pied, les acteurs de la menace utilisent des outils standard pour assurer la persistance, y compris le protocole RDP (Remote Desktop Protocol) pour maintenir l'accès. "


Les chercheurs ont révélé que l'extension malveillante pouvait voler les cookies et les mots de passe de sites Web, mais un transfert de courrier électronique a également été observé sur certains des comptes compromis.


Bien qu'il ait été déclaré que les attaques utilisant l' extension Google Chrome visent le secteur universitaire, les noms des victimes n'ont pas encore été révélés. Une institution asiatique à but non lucratif et certaines universités américaines figureraient sur la liste des institutions ciblées.


Les chercheurs de NetScout déclarent dans le rapport: "Un grand nombre de victimes, appartenant à plusieurs universités, possédaient une expertise en ingénierie biomédicale, suggérant peut-être une motivation pour cibler les attaquants."


Les chercheurs ont découvert que l'infrastructure utilisée pour héberger ces sites Web de phishing avait déjà été utilisée auparavant, dans le cadre d'une autre campagne de piratage informatique consistant à pénétrer dans les réseaux d'universités via des connexions RDP.


Les conclusions sont que le groupe derrière la campagne est basé en Corée du Nord. Le rapport NetScout indique: «Même si nous avons pu mieux comprendre les TTP (outils, techniques et procédures) de l'acteur de la menace derrière STOLEN PENCIL, il ne s'agit clairement que d'une petite fenêtre sur leur activité. Leurs techniques sont relativement basiques et une grande partie de leurs outils consiste en programmes sur étagère et en vivant hors de la terre. Ceci, avec la présence du cryptojacker, est typique de l'artisanat de la RPDC. En outre, la faible OPSEC des opérateurs expose leur langue coréenne, à la fois sur les sites Web consultés et sur les sélections au clavier. ”


Bien que l'équipe NetScout n'ait pas nommé de groupe particulier, les chercheurs de ZDNet semblent avoir leurs propres déductions. Le rapport ZDNet indique


que «… plusieurs sources de l'industrie à qui ZDNet a montré le hachage du fichier d'extension Chrome nous ont indiqué hier un groupe de cyber-espionnage connu sous le nom de Kimsuky (également connu sous le nom de Velvet Chollima)».


«Un rapport de 2013 de Kaspersky Lab a présenté des preuves établissant un lien entre le groupe et le régime nord-coréen. Le même rapport a également détaillé la propension de Kimsuky à viser des objectifs académiques, les mêmes que ceux ciblés par cette dernière campagne », poursuit le rapport de ZDNet.


Selon l’équipe NetScout ASERT, l’objectif principal des pirates est peut-être d’obtenir un accès aux comptes et systèmes compromis via des informations d’identité volées, puis de le conserver. Aucune preuve de vol de données n'a été trouvée.


Le secteur universitaire (en particulier les universités) a toujours été une cible privilégiée pour les APT à la recherche de recherches non publiées, d'informations confidentielles, etc. Les groupes de piratage chinois, russes et iraniens ont fréquemment visé des établissements universitaires.