Un groupe de recherche de sécurité a découvert un groupe de hacking dangereux connu en tant que Président Bronze. Apparemment, les criminels sont responsables d'une vaste campagne de cyber-espionnage réseaux de ciblage situés en Asie. Ils utilisent une combinaison de code personnalisé et d'exploits et de logiciels malveillants accessibles au public contre les agences gouvernementales et les ONG..
Ce que l'on sait de l'activité des hackers, c'est qu'ils ont lancé leurs premières attaques en 2014. Selon les rapports disponibles, ils sont probablement situés en République populaire de Chine (PRC). Ceci est basé sur des signatures de campagne qui semblent être en corrélation avec les attaques récentes attribuées aux pirates.. La particularité de leurs attaques est qu'elles utilisent à la fois des outils réseau propriétaires et des boîtes à outils accessibles au public afin de planifier et d'exécuter leurs tentatives d'intrusion.. Pour le moment, la campagne semble cibler principalement les ONG, les forces de l'ordre et les agences gouvernementales.
Les hackers du Bronze President utiliseront divers exploits et différentes techniques afin de s'immiscer sur les réseaux cibles. Dès que cela est fait le code du malware élèvera ses privilèges lui permettant d'exécuter des actions à l'échelle du système. Les scripts batch personnalisés seront exécutés pour deux raisons:
- collecte de l'information - Les criminels peuvent inclure une longue liste de données qui doivent être collectées par le malware. Il s'agit généralement d'informations personnelles sur les victimes qui peuvent être utilisées pour des crimes comme le vol d'identité et le chantage, ainsi qu'un profil complet des machines infectées. Il peut être utilisé à des fins statistiques ou pour créer un identifiant unique associé à chaque ordinateur individuel.
- contournement de la sécurité - Il s'agit d'un module populaire qui se trouve parmi les logiciels malveillants avancés. Il analysera la mémoire pour les processus identifiés comme des programmes de sécurité. Ils sont considérés comme dangereux pour les logiciels malveillants contrôlés par les pirates car ils peuvent les bloquer ou les arrêter. Pour les surmonter, le moteur principal sera crypté et peut “tuer” les processus avant qu'ils n'aient la chance de rechercher des virus. Cela fonctionne généralement contre les programmes anti-virus, pare-feu, environnements de bac à sable et des hôtes de machines virtuelles.
Les attaques du président de bronze sont considérées comme très dangereuses
Les dernières attaques sont concentrées contre des cibles situées dans les principaux pays asiatiques comme la Mongolie, Inde et Chine. Il semble qu'une part importante des échantillons de virus soit également livrée via campagnes de phishing. Il s'agit de la pratique consistant à manipuler les destinataires ou les utilisateurs Web en leur faisant croire qu'ils voient un message légitime d'une entreprise ou d'un service Web bien connu.. Les criminels détourneront le design, texte et graphiques à partir d'eux et créer leurs propres fausses copies. Ils sont généralement envoyés messages électroniques ou hébergé sites, qui sont tous deux placés sur des noms de domaine qui semblent sûrs. Non seulement les adresses sonneront de la même manière, mais le contenu peut également inclure des certificats de sécurité auto-signés. Les échantillons analysés montrent que le contenu et les versions personnalisées utilisent des modèles de messages d'intérêt pour les destinataires liés à la sécurité nationale et aux efforts humanitaires..
En raison des attaques massives et du type varié de victimes, les analystes de la sécurité évaluent le groupe Bronze President comme parrainé par l'État. Les campagnes d'attaque sont considérées comme à fort impact et le fait que de nouvelles versions des outils et des charges utiles personnalisées soient souvent exposées, nous prévoyons que le nombre de réseaux compromis continuera d'augmenter.. Pour le moment, nous ne pouvons pas juger exactement du nombre d'hôtes affectés et des dommages potentiels causés jusqu'à présent.