Le FBI lance une alerte concernant le programme malveillant ELECTRICFISH

Posted On 16 Mai 2019

Le département américain de la Sécurité intérieure et le FBI publient une alerte concernant le programme malveillant Electric Fish. Des pirates informatiques nord-coréens en seraient les créateurs.

Le DHS et le FBI indique, dans leur alerte datée du 9 mai 2019, ont découvert une nouvelle variante du malware exploité par les pirates présumés nord-coréens, ElectricFish. Le logiciel malveillant met en œuvre un protocole personnalisé configuré avec un serveur/port proxy. Les pirates peuvent ainsi contourner l’authentification requise du système compromis.. ElectricFish « canalise » rapidement le trafic entre deux adresses IP.

Les malveillants peuvent ainsi configurer un serveur qui permettra de se connecter à un système situé à l’intérieur d’un serveur proxy. Cela va permettre aux attaquants de contourner l’authentification requise du système infiltré.

Couteau Suisse Nord Coréen

Une fois que le code pirate s’est authentifié auprès du proxy configuré, il tente immédiatement d’établir une session avec l’adresse IP de destination, située en dehors du réseau victime et avec l’adresse IP source. L’attaque utiliserait des invites de commande pour spécifier la source et la destination du trafic tunnel.

L’US-CERT n’indique pas si des organisations américaines croisent ElectricFish.

Le rapport d’analyse des logiciels malveillants (MAR) indique toutefois que l’alerte a été émise « pour permettre la défense du réseau et réduire la cyberactivité malveillante du gouvernement nord-coréen. »

En 2017, une alerte présentait Delta Charlie, un logiciel permettant de lancer des attaques de type DDoS. En 2018, le DHS et le FBI alertaient les entreprises américaines au sujet du programme malveillant FastCash. Il vise les serveurs dédiés aux échanges bancaires. En 2016, des banques d’Afrique et d’Asie avaient été impactées. Le code malveillant permet de retirer de l’argent des guichets automatiques.

Il y a quelques semaines, une autre alerte concernait un cheval de Troie du nom de Joanap et un ver de type Server Message Block (SMB) appelé Brambul. Des outils « made in Corée du Nord » !

ElectricFish made in Hidden cobra ?

Hidden Cobra, également connu sous les noms de Lazarus Group et Guardians of Peace, serait soutenu par le gouvernement nord-coréen et connu pour ses cyberattaques contre les médias, les secteurs de l’aérospatiale, des finances et des infrastructures critiques à travers le monde. Ce groupe de piratage informatique serait l’auteur du ransomware WannaCry dont l’attaque, en 2017, avait fait grand bruit. Le même groupe serait derrière le piratage Sony Pictures, en 2014. Motif, la sortie d’un film se moquant de la Corée du Nord et de son guide suprême. Autre piratage, le service bancaire SWIFT, en 2016.

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

L’Eurovision attaqué par des pirates informatiques du Hamas!

2 Comments

Vincent 16/05/2019 at 09:13 Reply

Il faudra qu’on m’explique ce qu’est un port proxy et ce que veux dire « canaliser » un traffic (lequel ?) entre deux ip (encore une fois lesquelles ?)
- Damien Bancal 18/05/2019 at 12:56 Reply
  
  Bonjour Vincent,
  Un numéro de port spécifique sur le serveur proxy. Sans ce numéro, pas de possibilité de se connecter et d’utiliser ce proxy.
  Cordialement