Les casinos en ligne d’Asie du Sud-Ouest font l’objet de menaces persistantes avancées (APT) depuis plusieurs années. Les premières enquêtes révèlent que ces attaques sont d’origine chinoise. Certaines sources indiquent qu’il s’agit des pirates informatiques implantés en Chine.
Kaspersky identifie les responsables de ces attaques
Les casinos en ligne d’Asie du Sud-Ouest font l’objet de menaces persistantes avancées (APT) depuis plusieurs années. La société de cybersécurité russe, Kaspersky, a identifié les commanditaires de ces attaques de type APT. Selon le rapport du multinational russe Kaspersky, l’activité frauduleuse est orchestrée par une organisation nommée DiceyF.
L’organisation a procédé à la distribution des logiciels malveillants aux opérateurs de casino en ligne. Le but de cette action était de pirater le système des établissements de casino et y accéder à leur base de données. GamePlayerFramework est le nom du logiciel espion dévoilé par Kaspersky. Un nouveau logiciel qui se sert d’un « chargeur à plusieurs étapes » modifié et réécrit en C#.
Kaspersky précise que cette activité est comparable à une autre série de violations signalées à Earth Berberoka (alias GamblingPuppet) et DRBControl, citant des parallèles tactiques et de ciblage ainsi que l’utilisation d’applications de chat sécurisées.
L’opération DiceyF initiée par les pirates informatiques résulte d’une activité d’espionnage et de maraudage de propriété intellectuelle. Toutefois, les responsables de Kaspersky sont surpris de constater qu’il n’y a eu aucun vol d’argent. Aucune intention financière n’a sous-tendu cette activité de piratage informatique APT de DiceyF.
Deux référents de Final Fantasy impliqués
Outre l’objectif inconnu des activités de DiceyF, les chercheurs russes ont découvert un code étrange dans la suite GamePlayerFramework. Deux références de Final Fantasy ont été découvertes : Tifa et Yuna. Des deux noms font en fait référence aux deux personnages principaux de la populaire série Final Fantasy.
Les chercheurs russes ont indiqué que Yuna comprenait un téléchargeur, des plugins et plusieurs composants PuppetLoader. Le module Tifa, quant à lui, comprenait simplement un téléchargeur associé à un module de base. Il faut noter que la succursale Tifa se servait d’une application de messagerie sécurisée nommée Mango.
Novembre 2021, point de départ de l’enquête
La société russe Kaspersky a lancé l’enquête en novembre 2021. Elle survient après avoir découvert de nombreux chargeurs PlugX et autres, déployés via un service de surveillance et de contrôle des employés et un service de déploiement de packages de sécurité.
Selon l’entreprise russe, la méthode d’infection initiale repose sur la diffusion du framework à travers des packages de sécurité. Ceci a permis à l’auteur de la menace de mener des activités de cyber espionnage de façon subtile.
Par la suite, ils ont utilisé le même service de package de sécurité pour diffuser le logiciel espion GamePlayerFramework, une variante C# du malware PuppetLoader basé sur C++. Ce logiciel espion est composé de téléchargeurs, de lanceurs et d’une collection de plugins qui offrent un accès à distance. Ces derniers récoltent aussi les données saisies ou frappées au clavier et les données du presse-papiers.
Pour rendre l’opération discrète, les pirates ont collecté des informations sur les organisations ciblées (comme l’étage où se trouve le service informatique de l’organisation). Ensuite, ils les ont incorporées dans des fenêtres graphiques affichées aux victimes pour s’assurer que celles-ci ne se méfient pas des implants déguisés.
Laisser un commentaire