Qu'est-ce que Worok, nouveau gang de hackers redouté par les États ?
Choses à Savoir TECH - A podcast by Choses à Savoir
Categories:
Grâce à la vigilance de chercheurs en cybersécurité travaillant pour un éditeur de logiciel antivirus, on a pu découvrir l'existence d'un groupe de hackers spécialiste du vol d'information. Si leurs méfaits semblent pour l'instant se concentrer principalement sur l'Asie, force est de constater que ce groupe baptisé Worok est très dangereux. Dans leur dernier rapport, les chercheurs de l'entreprise Eset ont découvert qu'un groupe de hackers qu'ils ont baptisé Worok utilisait des outils jusqu'alors inconnus pour commettre leurs vols. Dans le détail, Worok s'attaque aux gouvernements du continent asiatique, ainsi que plusieurs pays du Moyen-Orient et du sud de l'Afrique. Les premières traces de ces malfaiteurs ont été découvertes il y a un an et demi, début 2021, plus ou moins au même moment que la découverte des failles ProxyShell. D'après les chercheurs, le profil de Worok est très similaire à celui d'un autre groupe de hackers : TA428. Si tout laisse à penser qu'il s'agit des mêmes personnes, les chercheurs ont pu différencier leurs activités grâce aux outils utilisés lors de chaque attaque informatique, et ainsi dater les premières attaques de Worok à fin 2020. Je cite le rapport des chercheurs : « nous considérons que les liens ne sont pas assez forts pour considérer que Worok soit le même groupe que TA428, mais les deux pourraient partager des outils et avoir des intérêts communs » fin de citation. Ce qui est intéressant avec Worok, c'est que le groupe a été très actif entre fin 2020 et mai 2021, puis a disparu des radars, avant de réapparaître en février dernier en ciblant une entreprise du secteur de l'énergie en Asie Centrale, ainsi qu'un organisme du secteur public d'Asie du Sud-Est. Si ces méfaits ont pu être attribués à ce groupe de hacker avec certitude, difficile toutefois de savoir avec quel outil les attaques ont eu lieu. Ceci dit, d'après les chercheurs, il est fort possible que Worok ait exploité les failles ProxyShell pour implanter du code malveillant sur les serveurs des victimes, et ainsi pouvoir se connecter au réseau à leur guise. Dans le détail, les hackers utilisent des outils totalement gratuits et libres disponibles sur Internet afin d'explorer les réseaux comportant des failles. On peut citer Mimikatz, EarthWorm, ReGeorg u encore NBTscan. Les hackers installent ensuite un premier programme pour prendre le contrôle des machines, on peut penser à PowHeartBeat, un logiciel écrit avec le langage de script PowerShell qui possède notamment la capacité de se connecter à un serveur afin de recevoir des commandes et télécharger d'autres programmes. Le programme sert alors à charger un second outil, PNGLoad, qui lui s'appuie sur la stéganographie, un message caché dans un autre message, pour installer le virus final. D'après les chercheurs d'Eset, il s'agit le plus souvent d'une image au format PNG contenant du code caché malgré un aspect parfaitement valide et donc paraître complètement inoffensive pour la victime. Pour l'instant, les chercheurs n'ont pas eu la possibilité d'analyser les fichiers PNG que je viens de vous décrire, ce qui signifie qu'ils ne savent pas avec précision quel programme final est été chargé et donc quel est le but exact de Worok. Et c'est justement toute cette incertitude et ce flou entourant le groupe de hacker qui le rend aussi dangereux. Ceci dit, compte tenu, je cite « du profil des cibles et des outils que nous avons vus déployés contre ces victimes », tout porte à croire que l'objectif principal des hackers reste l'espionnage. Reste désormais à savoir dans quel but, et éventuellement pour qui ? Learn more about your ad choices. Visit megaphone.fm/adchoices