Pas de trêve des confiseurs pour les hackers

Les cybercriminels ne prennent pas de vacances et le secteur public a été particulièrement touché lors de la période des fêtes. Ainsi la compromission de l’autorité vietnamienne de certification a permis une attaque à plus large échelle par rebond. Plus proche de nous, le Père Noël n’a pas pu protéger le parlement finlandais d’un cyberespionnage en règle.

La cybercriminalité ne dort jamais. Entre Noël et le Nouvel An, au moins deux cyberattaques majeures ont été détectées, l’une visant le parlement finlandais, l’autre l’autorité de certification vietnamienne. Dans le cas du VGCA, ou Vietnam government certification authority, ESET a mis au jour une attaque visant l’institution. Le site web de l’autorité a ainsi été compromis dans le courant de l’été, les attaquants en profitant pour injecter un malware dans plusieurs des applications proposées par la VGCA. 

Car en plus de délivrer des certificats électroniques, l’organisme gouvernemental vietnamien fournit toute une suite d’applications permettant à l’utilisateur final d’apposer sa signature électronique sur un document. Ce sont deux de ces outils, dans leur version Windows, qui ont été ciblés par les attaquants, qui semblent avoir procédé par rebonds. En d’autres termes, l’attaque de la VGCA n’était qu’une première étape : ESET explique que le malware en question, de conception relativement simple, sert surtout de porte dérobée, surnommée PhantomNet par les chercheurs, et de relais à d’autres programmes malveillants, embarquant l’outil tristement célèbre Mimikatz et permettant par exemple de « récupérer la configuration du proxy de la victime et l’utiliser pour contacter le serveur de commande et de contrôle (C&C)« . 

Pour l’entreprise de cybersecurité, [...]