ESET Research décode les procédés du groupe Lazarus pour détourner un logiciel de sécurité légitime en attaquant sa chaîne d’approvisionnement.

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont récemment découvert des tentatives de déploiement du malware Lazarus via unla technique dite d’attaque de la chaîne d’approvisionnement (Supply chain attack) en Corée du Sud. Afin d’installer leur malware, les attaquants ont utilisé un mécanisme inhabituel, détournant un logiciel de sécurité sud-coréen légitime et des certificats volés à deux sociétés différentes. Dans ce contexte, l’attaque a été facilitée car les internautes sud-coréens sont souvent invités à installer des logiciels de sécurité supplémentaires lorsqu’ils consultent des sites gouvernementaux ou des sites bancaires.

« Pour comprendre cette nouvelle attaque contre la chaîne d’approvisionnement, vous devez savoir que WIZVERA VeraPort est un programme d’installation d’intégration sud-coréen qui permet de gérer ce type de logiciel de sécurité supplémentaire. Lorsque WIZVERA VeraPort est installé, les utilisateurs reçoivent et installent tous les logiciels nécessaires requis par un site web spécifique. Très peu d’interactions avec les utilisateurs sont nécessaires pour démarrer l’installation d’un tel logiciel, » explique Anton Cherepanov, le chercheur d’ESET qui a mené l’enquête sur l’attaque. « Ce logiciel est généralement utilisé par les sites web du gouvernement et des banques en Corée du Sud. Pour certains de ces sites, l’installation de WIZVERA VeraPort est obligatoire, » ajoute M. Cherepanov.

Les pirates ont également utilisé des certificats de signature de code obtenus illégalement pour signer les échantillons du malware. Il est intéressant de noter que l’un de ces certificats a été délivré à la succursale américaine d’une société de sécurité sud-coréenne. « Les pirates ont fait passer les échantillons malveillants de Lazarus pour un logiciel légitime. Ces échantillons ont des noms de fichiers, des icônes et des ressources similaires à ceux des logiciels sud-coréens légitimes, » explique Peter Kálnai, chercheur d’ESET qui a analysé l’attaque de Lazarus avec Anton Cherepanov. « C’est la combinaison de sites web compromis avec le soutien de WIZVERA VeraPort et des options de configuration spécifiques de VeraPort qui a permis aux pirates de réaliser cette attaque, » ajoute M. Kálnai.

ESET Research a de fortes raisons d’attribuer l’attaque à Lazarus, car elle fait suite à ce que le KrCERT a nommé Operation BookCodes, qui est attribuée à Lazarus par certains membres de la communauté des chercheurs en cybersécurité. Les autres raisons sont les caractéristiques typiques des outils : la détection (de nombreux outils sont déjà signalés sous le nom de NukeSped par ESET), le fait que l’attaque a eu lieu en Corée du Sud, qui est un théâtre d’opérations de Lazarus, la nature inhabituelle et personnalisée des méthodes d’intrusion et de le chiffrement utilisées, et la configuration de l’infrastructure réseau.

Il convient de noter que la panoplie d’outils de Lazarus est extrêmement étendue, et ESET estime qu’il existe de nombreux sous-groupes. Contrairement aux outils utilisés par certains autres groupes de cybercriminels, aucun des codes sources des outils de Lazarus n’ont été publiquement fuités jusqu’à présent.

Pour plus de détails techniques sur la dernière attaque de Lazarus contre une chaîne d’approvisionnement, lisez l’article « Lazarus supply-chain attack in South Korea » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

Contact Presse :

Darina SANTAMARIA - 06 61 08 42 45 -  darina.j@eset-nod32.fr

Ines KHELIFI : +33 01 55 89 29 30 -  ines.k@eset-nod32.fr

À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.

Pour plus d’informations :  www.eset.com/na/  Blog :  www.welivesecurity.com/fr/