C’est un rapport publié le 28 mai par Google Threat Intelligence qui alerte une nouvelle fois sur l’ingéniosité du groupe chinois APT 41, lorsqu’il s’agit de cyberattaque. Tout débute par un classique du genre : une campagne de phishing. Les victimes reçoivent un email contenant un fichier ZIP, hébergé sur un site gouvernemental compromis. À l’intérieur, un fichier qui ressemble à un PDF, mais qui est en réalité un raccourci Windows piégé. En un clic, la chaîne d’infection se met en marche et un programme malveillant s’installe discrètement sur l’ordinateur.
Ce programme, baptisé TOUGHPROGRESS repose sur une technique bien rodée : il s’appuie sur un fichier DLL (un composant logiciel courant sous Windows et déjà exploité lors de précédentes attaques) pour se lancer en mémoire et rester quasiment invisible. Cette étape permet de contourner la plupart des antivirus, qui peinent à détecter ce type d’attaque furtive.
Google Calendar, le cerveau caché de l’attaque
Là où APT41 innove, c’est dans la manière de piloter ses opérations. Plutôt que de communiquer avec ses logiciels malveillants via des serveurs suspects, le groupe chinois exploite Google Calendar, un service cloud utilisé par des millions de personnes chaque jour.
Le principe est simple, mais redoutable : TOUGHPROGRESS se connecte à un calendrier Google contrôlé à distance. Dans ce calendrier, les hackers créent des événements dans lesquels ils glissent des instructions codées et consultées par le logiciel espion : voler des documents, installer d’autres malwares, ou encore exfiltrer des données sensibles.
Une fois sa mission accomplie, TOUGHPROGRESS peut répondre à ses opérateurs en déposant, à son tour, des messages chiffrés dans de nouveaux événements du calendrier. Ce système, appelé centre de commande et de contrôle (C2), permet aux pirates d’envoyer des ordres (commande) et de recevoir des retours sur l’exécution de ces ordres (contrôle), tout en restant sous le radar des outils de sécurité.
Des cibles variées et une détection difficile
Les cibles de cette campagne sont diverses : agences gouvernementales, entreprises de la logistique, médias, sociétés technologiques ou encore constructeurs automobiles, principalement en Europe et en Asie. En utilisant un service aussi banal que Google Calendar, les hackeurs rendent leur communication indétectable pour la plupart des systèmes de cybersécurité, qui voient simplement du trafic « normal » vers un service légitime.
Face à cette attaque, Google annonce avoir réagi rapidement : suppression des comptes et calendriers compromis, mise à jour de ses outils de détection, et alerte envoyée aux organisations concernées.
Une nouvelle occasion de rappeler que faire attention à ce que l’on télécharge, et surtout ce que l’on ouvre, reste la base d’une bonne hygiène numérique.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
