Les attaquants cherchaient à collecter des données liées à la conception des missiles et torpilles embarqués dans les sous-marins nucléaires de la marine russe. © Mil.ru
Tech

Cyberespionnage : un malware cible le plus gros concepteur de sous-marins nucléaires russes

ActualitéClassé sous :Guerre du futur , cyberguerre , cybersécurité

-

[EN VIDÉO] Cyberespionnage : quelles sont les menaces ?  Ingérence dans les élections, vol de données industrielles, piratage de systèmes militaires… Le cyberespionnage a connu une envolée ces deux dernières décennies. 

Des chercheurs en cybersécurité de Cybereason Nocturnus Team ont trouvé un puissant backdoor dans un malware déposé au cœur d'un centre de recherche russe chargé de la conception des sous-marins nucléaires du pays. Les chercheurs soupçonnent les groupes de hackers chinois liés à l'État, d'être à la manœuvre.

On ne la voit pas mais elle rugit dans les réseaux : la cyberguerre est silencieuse et l'une de ses armes les plus redoutées des États est celle du cyberespionnage. Connaître les plans secrets des États, c'est s'assurer d'une certaine supériorité en cas de conflit. Dans ce domaine, les indices pointent souvent vers des groupes de pirates affiliés au Kremlin ou à l'État chinois. Et justement, il semble bien que ce dernier ait cherché à en savoir plus sur les sous-marins nucléaires russes.

Des chercheurs de la Cybereason Nocturnus Team ont en effet identifié un malware doté d'une porte d'entrée (backdoor) ayant ciblé précisément une grosse entreprise russe chargée de la conception des sous-marins nucléaires pour la marine russe depuis 1991. L'attaque par hameçonnage a précisément visé le directeur du bureau d'étude et d'ingénierie du centre de conception de sous-marins Rubin, situé à Saint-Pétersbourg. Les attaquants souhaitaient certainement atteindre par ce truchement, le consortium Gidropribor dont fait partie Rubin. C'est ce centre qui conçoit les torpilles et missiles des sous-marins.

RoyalRoad : un malware militarisé

La charge virale a été déposée par RoyalRoad, une cyber-arme connue qui exploite des fichiers RTF vérolés et permet à l'attaquant de se faufiler via les anciennes versions de Word. Il se trouve que RoyalRoad a été customisé de façon militaire selon les chercheurs, et ce, afin de déposer un backdoor inédit baptisé PortDoor. Avec lui, les hackers peuvent ajouter des charges utiles supplémentaires, élever leurs privilèges et exfiltrer des données.

Si le type d'attaque par hameçonnage reste basique, l'utilisation de RoyalRoad et sa personnalisation a permis aux spécialistes de concentrer leurs soupçons vers les groupes APT chinois généralement sponsorisés par l'État chinois. Comme toujours dans ce type d'attaque, la société de sécurité n'a toutefois pas pu attribuer avec certitude cette manœuvre de cyberespionnage.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !