Le FBI et l’US-CERT détaillent deux cybermenaces qui viendraient de Corée du Nord
Et les recommandations d’usage permettant de les combattre

La United States Computer Emergency Readiness Team (US-CERT), l’équipe d’experts en charge de l’analyse des cybermenaces aux États-Unis, vient de publier deux alertes après la découverte de cybermenaces attribuées à la Corée du Nord. Ces menaces ont pu être identifiées grâce aux efforts d’analyse conjoints menés par le département de la sécurité intérieure (DHS) et le Federal Bureau of Investigation (FBI), en collaboration avec des partenaires gouvernementaux américains. Le gouvernement américain fait référence à la cyberactivité malveillante du gouvernement nord-coréen par le nom de code « HIDDEN COBRA ».

La première alerte est identifiée comme « Alert (TA17-318A) ». Le DHS et le FBI ont affirmé avoir identifié des adresses IP et d’autres indicateurs de risques (IOC) associés à un outil d’administration à distance (RAT) communément appelé FALLCHILL qui serait utilisé par le gouvernement nord-coréen pour mener ses cyberactivités malveillantes. FALLCHILL a été déployé par Hidden Cobra depuis 2016 et ciblerait essentiellement les secteurs de l’aérospatiale, des télécommunications et de la finance.

Nom : alert-graphic-01.png
Affichages : 1197
Taille : 19,5 Ko

La seconde alerte est identifiée comme « Alert (TA17-318B) ». Le DHS et le FBI ont affirmé avoir identifié des adresses IP et d’autres indicateurs de risques (IOC) associés à une variante de Trojan communément appelée Volgmer qui serait utilisée par le gouvernement nord-coréen pour mener ses cyberactivités malveillantes. Volgmer est utilisée par Hidden Cobra pour cibler les médias, l’industrie automobile et les institutions gouvernementales ou financières.

D’après les experts américains, Volgmer serait en mesure de rassembler des informations sur le système, mettre à jour les clés du registre de service, télécharger des fichiers, exécuter des commandes et mettre fin à des processus. FALLCHILL, pour sa part, serait capable de récupérer des informations sur tous les disques installés, accéder aux fichiers, modifier les horodatages des fichiers ou des répertoires et supprimer les preuves sur le serveur infecté.

Sont précisés dans ces alertes : les adresses IP liées aux systèmes infectés par des logiciels malveillants FALLCHILL et Volgmer, les COI liés à HIDDEN COBRA, les descriptions des programmes malveillants ainsi que les signatures associées. Ces alertes listent également les conduites à tenir en fonction du COI considéré et les techniques d’atténuation recommandées ainsi que les informations sur les incidents signalés.

Source : US-CERT Alert (TA17-318A), US-CERT Alert (TA17-318B)

Et vous ?

Qu’en pensez-vous ?

Voir aussi

WPA2 : des chercheurs en sécurité sont parvenus à casser le protocole de sécurité de Wi-Fi, les utilisateurs du monde entier sont désormais menacés
Forums Sécurité, Rubrique Sécurité