Nous joindre par : 0890 170 001*

Le FBI lance une alerte concernant le programme malveillant ELECTRICFISH

Le département américain de la Sécurité intérieure et le FBI publient une alerte concernant le programme malveillant Electric Fish. Des pirates informatiques nord-coréens en seraient les créateurs.

Le DHS et le FBI indique, dans leur alerte datée du 9 mai 2019, ont découvert une nouvelle variante du malware exploité par les pirates présumés nord-coréens, ElectricFish. Le logiciel malveillant met en œuvre un protocole personnalisé configuré avec un serveur/port proxy. Les pirates peuvent ainsi contourner l’authentification requise du système compromis.. ElectricFish « canalise » rapidement le trafic entre deux adresses IP.

Les malveillants peuvent ainsi configurer un serveur qui permettra de se connecter à un système situé à l’intérieur d’un serveur proxy. Cela va permettre aux attaquants de contourner l’authentification requise du système infiltré.

Couteau Suisse Nord Coréen

Une fois que le code pirate s’est authentifié auprès du proxy configuré, il tente immédiatement d’établir une session avec l’adresse IP de destination, située en dehors du réseau victime et avec l’adresse IP source. L’attaque utiliserait des invites de commande pour spécifier la source et la destination du trafic tunnel.

L’US-CERT n’indique pas si des organisations américaines croisent ElectricFish.

Le rapport d’analyse des logiciels malveillants (MAR) indique toutefois que l’alerte a été émise « pour permettre la défense du réseau et réduire la cyberactivité malveillante du gouvernement nord-coréen. »

En 2017, une alerte présentait Delta Charlie, un logiciel permettant de lancer des attaques de type DDoS. En 2018, le DHS et le FBI alertaient les entreprises américaines au sujet du programme malveillant FastCash. Il vise les serveurs dédiés aux échanges bancaires. En 2016, des banques d’Afrique et d’Asie avaient été impactées. Le code malveillant permet de retirer de l’argent des guichets automatiques.

Il y a quelques semaines, une autre alerte concernait un cheval de Troie du nom de Joanap et un ver de type Server Message Block (SMB) appelé Brambul. Des outils « made in Corée du Nord » !

ElectricFish made in Hidden cobra ?

Hidden Cobra, également connu sous les noms de Lazarus Group et Guardians of Peace, serait soutenu par le gouvernement nord-coréen et connu pour ses cyberattaques contre les médias, les secteurs de l’aérospatiale, des finances et des infrastructures critiques à travers le monde. Ce groupe de piratage informatique serait l’auteur du ransomware WannaCry dont l’attaque, en 2017, avait fait grand bruit. Le même groupe serait derrière le piratage Sony Pictures, en 2014. Motif, la sortie d’un film se moquant de la Corée du Nord et de son guide suprême.  Autre piratage, le service bancaire SWIFT, en 2016.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr - Journaliste - Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. En savoir plus : https://www.damienbancal.fr
  1. Vincent Reply

    Il faudra qu’on m’explique ce qu’est un port proxy et ce que veux dire « canaliser » un traffic (lequel ?) entre deux ip (encore une fois lesquelles ?)

    • Damien Bancal Reply

      Bonjour Vincent,
      Un numéro de port spécifique sur le serveur proxy. Sans ce numéro, pas de possibilité de se connecter et d’utiliser ce proxy.
      Cordialement

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.