Les entités gouvernementales de la région Asie-Pacifique (APAC) sont la cible d’une campagne de cyberespionnage de longue durée baptisée TetrisFantôme.
« L’attaquant a secrètement espionné et collecté des données sensibles auprès d’entités gouvernementales de l’APAC en exploitant un type particulier de clé USB sécurisée, protégée par un cryptage matériel pour garantir le stockage et le transfert sécurisés des données entre les systèmes informatiques », Kaspersky dit dans son rapport sur les tendances APT pour le troisième trimestre 2023.
La société russe de cybersécurité, qui a détecté l’activité en cours début 2023, a déclaré que les clés USB offrent un cryptage matériel et sont utilisées par des organisations gouvernementales du monde entier pour stocker et transférer des données en toute sécurité, ce qui soulève la possibilité que les attaques puissent s’étendre à l’avenir et avoir une portée mondiale. empreinte.
L’ensemble des intrusions clandestines n’a été lié à aucun acteur ou groupe menaçant connu, mais le haut niveau de sophistication de la campagne indique qu’il s’agit d’un équipage d’un État-nation.
« Ces opérations ont été menées par un acteur malveillant hautement qualifié et ingénieux, avec un vif intérêt pour les activités d’espionnage au sein de réseaux gouvernementaux sensibles et protégés », a déclaré Noushin Shabab, chercheur principal en sécurité chez Kaspersky. dit. « Les attaques étaient extrêmement ciblées et ont fait un nombre de victimes assez limité. »
L’une des principales caractéristiques de la campagne est l’utilisation de divers modules malveillants pour exécuter des commandes, collecter des fichiers et des informations sur des machines compromises et propager l’infection à d’autres machines en utilisant la même clé USB sécurisée ou d’autres clés USB sécurisées comme vecteur.
Les composants malveillants, en plus de s’auto-répliquer via des clés USB sécurisées connectées pour pénétrer dans les réseaux isolés, sont également capables d’exécuter d’autres fichiers malveillants sur les systèmes infectés.
« L’attaque comprend des outils et des techniques sophistiqués », a déclaré Kaspersky, ajoutant que les séquences d’attaque impliquaient également « l’injection de code dans un programme légitime de gestion des accès sur la clé USB qui agit comme un chargeur de malware sur une nouvelle machine ».
Cette divulgation intervient alors qu’un nouvel acteur inconnu de la menace persistante avancée (APT) a été associé à une série d’attaques ciblant des entités gouvernementales, des sous-traitants militaires, des universités et des hôpitaux en Russie via des courriels de spear phishing contenant des documents Microsoft Office piégés.
« Cela déclenche un système d’infection à plusieurs niveaux conduisant à l’installation d’un nouveau cheval de Troie, principalement conçu pour exfiltrer des fichiers de la machine de la victime et en prendre le contrôle en exécutant des commandes arbitraires », a déclaré Kaspersky.
Les attaques, baptisées BadRory par la société, se sont déroulées sous la forme de deux vagues : une en octobre 2022, suivie d’une seconde en avril 2023.