{"id":706687,"date":"2023-04-27T12:19:21","date_gmt":"2023-04-27T14:19:21","guid":{"rendered":"https:\/\/teknomers.com\/fr\/paperbug-attack-nouvelle-campagne-de-surveillance-politiquement-motivee-au-tadjikistan\/"},"modified":"2023-04-27T12:19:25","modified_gmt":"2023-04-27T14:19:25","slug":"paperbug-attack-nouvelle-campagne-de-surveillance-politiquement-motivee-au-tadjikistan","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/paperbug-attack-nouvelle-campagne-de-surveillance-politiquement-motivee-au-tadjikistan\/","title":{"rendered":"Paperbug Attack\u00a0: nouvelle campagne de surveillance politiquement motiv\u00e9e au Tadjikistan"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un groupe de cyber-espionnage russophone peu connu a \u00e9t\u00e9 li\u00e9 \u00e0 une nouvelle campagne de surveillance \u00e0 motivation politique ciblant des hauts fonctionnaires, des services de t\u00e9l\u00e9communications et des infrastructures de service public au Tadjikistan.<\/p>\n<p>L&#8217;ensemble d&#8217;intrusion, surnomm\u00e9 <strong>Punaise de papier<\/strong> par la soci\u00e9t\u00e9 suisse de cybers\u00e9curit\u00e9 PRODAFT, a \u00e9t\u00e9 attribu\u00e9e \u00e0 un acteur mena\u00e7ant connu sous le nom de <strong>Poulpe nomade<\/strong> (alias DustSquad).<\/p>\n<p>&#8220;Les types de machines compromises vont des ordinateurs individuels aux [operational technology] appareils \u00bb, a d\u00e9clar\u00e9 PRODAFT dans un rapport technique approfondi partag\u00e9 avec The Hacker News. \u00ab Ces cibles rendent l&#8217;op\u00e9ration \u00ab Paperbug \u00bb ax\u00e9e sur le renseignement.<\/p>\n<p>Le motif ultime des attaques n&#8217;est pas clair \u00e0 ce stade, mais la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a \u00e9voqu\u00e9 la possibilit\u00e9 qu&#8217;il s&#8217;agisse de l&#8217;\u0153uvre des forces de l&#8217;opposition dans le pays ou, alternativement, d&#8217;une mission de collecte de renseignements men\u00e9e par la Russie ou la Chine.<\/p>\n<p>Nomadic Octopus est apparu pour la premi\u00e8re fois en octobre 2018 lorsque <a rel=\"nofollow noopener\" href=\"https:\/\/www.virusbulletin.com\/conference\/vb2018\/abstracts\/nomadic-octopus-cyber-espionage-central-asia\/\" target=\"_blank\">ESET<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/octopus-infested-seas-of-central-asia\/88200\/\" target=\"_blank\">Kaspersky<\/a> a d\u00e9taill\u00e9 une s\u00e9rie d&#8217;attaques de phishing mont\u00e9es par l&#8217;acteur contre plusieurs pays d&#8217;Asie centrale.  On estime que le groupe est actif depuis au moins 2014.<\/p>\n<p>Les cyberoffensives ont impliqu\u00e9 l&#8217;utilisation de logiciels malveillants Android et Windows personnalis\u00e9s pour frapper un m\u00e9lange d&#8217;entit\u00e9s de grande valeur comme les gouvernements locaux, les missions diplomatiques et les blogueurs politiques, ce qui soul\u00e8ve la possibilit\u00e9 que l&#8217;acteur mena\u00e7ant soit probablement impliqu\u00e9 dans des op\u00e9rations de cybersurveillance.<\/p>\n<p>Le malware Windows, surnomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/f5941f3d8dc8d60581d4915d06d56acba74f3ffad543680a85037a8d3bf3f8bc\" target=\"_blank\">Pieuvre<\/a> et qui se faisait passer pour une version alternative de l&#8217;application de messagerie Telegram, est un outil bas\u00e9 sur Delphi qui permet \u00e0 l&#8217;adversaire de surveiller les victimes, de siphonner des donn\u00e9es sensibles et d&#8217;acc\u00e9der par une porte d\u00e9rob\u00e9e \u00e0 leurs syst\u00e8mes via un panneau de commande et de contr\u00f4le (C2).<\/p>\n<p>Une analyse ult\u00e9rieure par <a rel=\"nofollow noopener\" href=\"https:\/\/mp.weixin.qq.com\/s\/v1gi0bW79Ta644Dqer4qkw\" target=\"_blank\">S\u00e9curit\u00e9<\/a> en d\u00e9cembre 2019 a mis en \u00e9vidence les attaques du groupe de menace persistante avanc\u00e9e (APT) contre le minist\u00e8re des Affaires \u00e9trang\u00e8res de l&#8217;Ouzb\u00e9kistan pour d\u00e9ployer Octopus.<\/p>\n<p>Les conclusions de PRODAFT sont le fruit de la d\u00e9couverte d&#8217;un environnement op\u00e9rationnel g\u00e9r\u00e9 par Nomadic Octopus depuis 2020, faisant de Paperbug la premi\u00e8re campagne orchestr\u00e9e par le groupe depuis Octopus.<\/p>\n<p>Selon les donn\u00e9es recueillies par l&#8217;entreprise, l&#8217;acteur mena\u00e7ant a r\u00e9ussi \u00e0 acc\u00e9der au r\u00e9seau d&#8217;une entreprise de t\u00e9l\u00e9communications, avant de se d\u00e9placer lat\u00e9ralement vers plus d&#8217;une douzaine de cibles se concentrant sur les r\u00e9seaux gouvernementaux, les cadres et les appareils OT pr\u00e9sentant des vuln\u00e9rabilit\u00e9s connues du public.  On ne sait pas exactement comment et quand le r\u00e9seau de t\u00e9l\u00e9communication a \u00e9t\u00e9 infiltr\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/04\/1682605161_705_Paperbug-Attack-nouvelle-campagne-de-surveillance-politiquement-motivee-au-Tadjikistan.png\" alt=\"Motiv\u00e9 politiquement\" border=\"0\" data-original-height=\"456\" data-original-width=\"728\" title=\"Motiv\u00e9 politiquement\"\/><\/div>\n<p>&#8220;L&#8217;op\u00e9ration PaperBug s&#8217;aligne sur la tendance commune d&#8217;attaquer les infrastructures gouvernementales d&#8217;Asie centrale qui sont r\u00e9cemment devenues plus importantes&#8221;, a not\u00e9 PRODAFT.<\/p>\n<p>On pense que Nomadic Octopus fait preuve d&#8217;un certain niveau de coop\u00e9ration avec un autre acteur d&#8217;\u00c9tat-nation russe connu sous le nom de Sofacy (alias APT28, Fancy Bear, Forest Blizzard ou FROZENLAKE), bas\u00e9 sur <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/a-slice-of-2017-sofacy-activity\/83930\/\" target=\"_blank\">victimologie<\/a> chevauchements.<\/p>\n<p>Les derni\u00e8res attaques impliquaient en outre l&#8217;utilisation d&#8217;une variante d&#8217;Octopus dot\u00e9e de fonctionnalit\u00e9s permettant de prendre des captures d&#8217;\u00e9cran, d&#8217;ex\u00e9cuter des commandes \u00e0 distance et de t\u00e9l\u00e9charger et de t\u00e9l\u00e9charger des fichiers vers et depuis l&#8217;h\u00f4te infect\u00e9 vers un serveur distant.  Un tel <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/062ba92736257f6ec1f16e33a8ae507732ab900404785d5f14b05cf4cecd05c2\" target=\"_blank\">artefact<\/a> a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur VirusTotal le 1er avril 2021.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Zero Trust + Deception\u00a0: apprenez \u00e0 d\u00e9jouer les attaquants\u00a0!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">D\u00e9couvrez comment Deception peut d\u00e9tecter les menaces avanc\u00e9es, arr\u00eater les mouvements lat\u00e9raux et am\u00e9liorer votre strat\u00e9gie Zero Trust.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>Un examen plus approfondi du serveur de commande et de contr\u00f4le (C2) r\u00e9v\u00e8le que le groupe a r\u00e9ussi \u00e0 d\u00e9tourner un total de 499 syst\u00e8mes au 27 janvier 2022, dont certains comprennent des appareils de r\u00e9seau gouvernemental, des stations-service et une caisse enregistreuse.<\/p>\n<p>Le groupe, cependant, ne semble pas poss\u00e9der d&#8217;outils avanc\u00e9s ou \u00eatre trop soucieux de couvrir ses traces sur les machines victimes malgr\u00e9 la nature \u00e0 enjeux \u00e9lev\u00e9s des attaques.<\/p>\n<p>&#8220;Alors qu&#8217;ils op\u00e8rent sur les machines compromises pour voler des informations, ils ont parfois provoqu\u00e9 par inadvertance des fen\u00eatres contextuelles d&#8217;autorisation sur les ordinateurs des victimes, ce qui a suscit\u00e9 des soup\u00e7ons de la part de la victime&#8221;, a soulign\u00e9 la soci\u00e9t\u00e9.  &#8220;Cependant, cela a \u00e9t\u00e9 r\u00e9solu car le groupe a nomm\u00e9 avec diligence les fichiers qu&#8217;ils transf\u00e8rent en tant que programmes b\u00e9nins et discrets.&#8221;<\/p>\n<p>La m\u00eame tactique s&#8217;\u00e9tend \u00e9galement \u00e0 la d\u00e9nomination de leurs outils malveillants, le groupe les camouflant en navigateurs Web populaires tels que Google Chrome, Mozilla Firefox et Yandex pour passer sous le radar.<\/p>\n<p>Cela dit, les cha\u00eenes d&#8217;attaque Paperbug sont largement caract\u00e9ris\u00e9es par l&#8217;utilisation d&#8217;outils offensifs publics et de techniques g\u00e9n\u00e9riques, agissant effectivement comme un &#8220;masque&#8221; pour le groupe et rendant l&#8217;attribution beaucoup plus difficile.<\/p>\n<p>&#8220;Ce d\u00e9s\u00e9quilibre entre les comp\u00e9tences de l&#8217;op\u00e9rateur et l&#8217;importance de la mission pourrait indiquer que les op\u00e9rateurs ont \u00e9t\u00e9 recrut\u00e9s par une entit\u00e9 qui leur a fourni une liste de commandes \u00e0 ex\u00e9cuter exactement sur chaque machine&#8221;, a d\u00e9clar\u00e9 PRODAFT, ajoutant que &#8220;l&#8217;op\u00e9rateur suit un liste de contr\u00f4le et est oblig\u00e9 de s&#8217;y tenir.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/paperbug-attack-new-politically.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de cyber-espionnage russophone peu connu a \u00e9t\u00e9 li\u00e9 \u00e0 une nouvelle campagne de surveillance \u00e0 motivation politique ciblant des hauts fonctionnaires, des services de t\u00e9l\u00e9communications et des infrastructures de service public au Tadjikistan. L&#8217;ensemble d&#8217;intrusion, surnomm\u00e9 Punaise de papier par la soci\u00e9t\u00e9 suisse de cybers\u00e9curit\u00e9 PRODAFT, a \u00e9t\u00e9 attribu\u00e9e \u00e0 un acteur mena\u00e7ant [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":706688,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4270,2930,4168,4158,4165,4161,4157,4159,4171,4170,4167,4160,51666,197,4163,4162,158931,36002,4172,4169,3492,109336,4166,4164],"class_list":["post-706687","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attack","tag-campagne","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-motivee","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-paperbug","tag-politiquement","tag-securite-informatique","tag-securite-internet","tag-surveillance","tag-tadjikistan","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/706687","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=706687"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/706687\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/706688"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=706687"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=706687"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=706687"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}