Baptisé « PseudoManuscrypt » en raison de ses similitudes avec le malware Manuscrypt du groupe APT Lazarus, ce nouveau logiciel malveillant doté de fonctionnalités d’espionnage avancées menace autant les organisations gouvernementales que les systèmes de contrôle industriels (ICS) de nombreux secteurs.
Les entreprises industrielles figurent parmi les cibles prisées par les cybercriminels, tant pour les gains financiers que pour la collecte de renseignements. En effet, au cours de l’année 2021, elles ont fortement attiré les convoitises de groupes APT connus comme Lazarus et APT41. En enquêtant sur une autre série d’attaques, les experts de Kaspersky ont détecté un nouveau logiciel malveillant présentant certaines similitudes avec « Manuscrypt », un malware personnalisé que Lazarus a utilisé dans sa campagne ThreatNeedle contre l’industrie de la défense. Ils l’ont ainsi baptisé PseudoManuscrypt.
Du 20 janvier au 10 novembre 2021, les produits Kaspersky ont bloqué PseudoManuscrypt sur plus de 35 000 ordinateurs dans 195 pays, en particulier au sein d’organisations industrielles et gouvernementales, y compris des entreprises militaro-industrielles et des laboratoires de recherche. 7,2 % des ordinateurs attaqués faisaient partie de systèmes de contrôle industriels (ICS), les secteurs les plus touchés étant l’ingénierie et l’automatisation des bâtiments.
PseudoManuscrypt s’infiltre dans les systèmes ciblés via de fausses archives d’installation de logiciels, dont certaines visent spécifiquement à pirater les ICS. Il est probable que ces dernières soient proposées par le biais d’une plateforme de type « Malware-as-a-Service » (MaaS). Curieusement, dans certains cas, PseudoManuscrypt a été installé par le tristement célèbre botnet Glupteba. Après la contamination initiale, une chaîne d’infection complexe est lancée jusqu’au téléchargement du principal module malveillant. Les experts de Kaspersky en ont identifié deux variants. Tous deux intègrent des fonctionnalités avancées de spyware, notamment l’enregistrement des frappes au clavier, la copie du contenu du presse-papiers et de captures d’écran, le vol des informations d’authentification VPN (et potentiellement RDP) et des données de connexion.
Les attaques ne semblent privilégier aucun secteur particulier, mais l’espionnage industriel fait partie de leurs objectifs probables, car elles touchent un grand nombre de systèmes utilisés en ingénierie, comme pour la modélisation 3D et physique et les jumeaux numériques.
Étrangement, certaines des victimes ont des liens avec les cibles de la campagne Lazarus déjà mentionnée par l’ICS CERT, et les données sont envoyées au serveur des hackers via un protocole rare exploitant une bibliothèque qui n’a été utilisée auparavant qu’avec le malware d’APT41. Toutefois, compte tenu de l’ampleur des attaques et de l’absence d’objectif explicite, Kaspersky estime qu’aucun rapport direct n’est avéré avec Lazarus ou tout autre groupe APT.
« Il s’agit d’une campagne très inhabituelle, et nous n’avons pas terminé de rassembler les différentes informations dont nous disposons. Cependant, il est clair que cette menace doit être surveillée de près par les spécialistes. Des milliers d’ordinateurs liés aux systèmes de contrôle industriels ont déjà été compromis, y compris dans de nombreuses entreprises de premier plan. Nous allons poursuivre nos investigations, et toute nouvelle découverte sera communiquée auprès de l’écosystème cyber », souligne Vyacheslav Kopeytsev, security expert, Kaspersky.
Pour en savoir plus sur la campagne PseudoManuscrypt, consultez le site de l’ICS CERT.
Pour vous protéger de PseudoManuscrypt, suivez ces recommandations des experts de Kaspersky :
Installez un logiciel de protection des terminaux sur tous les serveurs and postes de travail.
Vérifiez que tous les composants de protection des terminaux sont activés sur tous les systèmes et qu’une politique exige la saisie du mot de passe administrateur en cas de tentative de désactivation du logiciel.
Assurez-vous que les politiques Active Directory incluent des restrictions sur les tentatives de connexion des utilisateurs aux systèmes. Les utilisateurs ne doivent être autorisés à accéder qu’aux systèmes dont ils ont besoin pour mener leurs activités professionnelles.
Restreignez les connexions réseau, y compris aux VPN, entre les systèmes du réseau OT ; bloquez les connexions sur tous les ports qui ne sont pas nécessaires à la continuité et à la sécurité des opérations.
Utilisez des cartes à puce (tokens) ou des codes à usage unique comme deuxième facteur d’authentification lors de l’établissement d’une connexion VPN. Dans les cas où cela est applicable, utilisez la technologie ACL (Access Control List) pour restreindre la liste des adresses IP autorisées à partir desquelles une connexion VPN peut être lancée.
Formez les employés de l’entreprise à l’utilisation sécurisée d’Internet, de la messagerie électronique et des autres canaux de communication et, en particulier, expliquez-leur les conséquences possibles du téléchargement et de l’exécution de fichiers provenant de sources non vérifiées.
Utilisez les comptes dotés de privilèges d’administrateur local et de domaine uniquement si vos responsabilités professionnelles l’exigent.
Envisagez d’utiliser une solution Managed Detection and Response pour bénéficier d’un accès rapide à des connaissances de haut niveau et à l’expertise de professionnels de la sécurité.
Utilisez une protection spécifique pour les systèmes des ateliers. Kaspersky Industrial CyberSecurity protège les terminaux industriels et permet de surveiller le réseau OT pour identifier et bloquer les activités malveillantes.