Le 25 septembre 2019
L’équipe de recherche et d’analyse mondiale de Kaspersky a découvert un nouvel outil d’espionnage du Groupe Lazarus. Baptisé Dtrack, ce logiciel espion est utilisé pour télé(dé)charger des fichiers sur les systèmes des victimes, la saisie de clavier à distance et d’autres actions caractéristiques d’un outil d’administration à distance malveillant (RAT). Dtrack a maintenant été signalé dans des institutions financières et centres de recherche indiens.
Dtrack est conçu pour prendre le contrôle total des ordinateurs des victimes. Il permet aux cybercriminels d’effectuer toutes sortes d’opérations administratives, telles que le télé(dé)chargement de fichiers ou l’émission à distance d’autres ordres administratifs au moyen de la saisie de clavier à distance. Une fois que ce logiciel espion aura été déployé avec succès, les cybercriminels auront accès à l’historique du navigateur, aux adresses IP des hôtes, à l’enregistreur de frappes et aux informations sur les réseaux disponibles, entre autres choses. Selon Kaspersky, ce Dtrack nouvellement découvert est toujours activement utilisé dans le cadre de diverses cyberattaques.
Les entreprises ou organisations victimes de Dtrack ont souvent une stratégie de sécurité réseau lacunaire et des normes de mots de passe faibles. En outre, ces entreprises ou organisations n’ont souvent pas pleinement accès au trafic du réseau et des transactions.
« Le Groupe Lazarus est un collectif particulier de cybercriminels parrainé par des nations. D’une part, ils se concentrent sur les pratiques de cyberespionnage et de cybersabotage. D’autre part, il semble qu’ils aient également une grande influence sur les cyberattaques visant à voler de l’argent. Ce dernier élément est tout à fait singulier pour un groupe de cybercriminels parrainé par une nation. Il semble que le Groupe Lazarus soit en constante évolution. Entre-temps, c’est peut-être aujourd’hui le groupe de cybercriminels le plus actif au monde. Son but ? Influer sur un grand éventail de secteurs. Par conséquent, les organismes publics ne sont plus les seuls à craindre les attaques du Groupe Lazarus. Les entreprises commerciales telles que les banques, mais aussi les centres de recherche doivent se préparer aux opérations de ces cybercriminels expérimentés », explique Jornt van der Wiel, expert en sécurité chez Kaspersky.
Les chercheurs de Kaspersky avaient déjà découvert l’ATMDtrack l’année dernière. Ce logiciel malveillant a été créé pour infiltrer les distributeurs de billets automatiques indiens afin de dérober les données des clients. Après avoir procédé à des recherches plus approfondies, les experts de Kaspersky ont trouvé plus de 180 nouveaux échantillons de logiciels malveillants qui présentent des similitudes avec l’ATMDtrack. Dans le même temps, il s’est avéré que ce logiciel malveillant ne ciblait pas les distributeurs automatiques. Dtrack a ainsi été découvert comme un nouveau logiciel espion ciblant les processus administratifs. Dtrack a également des caractéristiques en commun avec la campagne Dark-Seoul de 2013. Cette action a également été attribuée au Groupe Lazarus à l’époque.