Accueil » Actualité » Ces hackers nord-coréens passent par Google Drive pour voler vos données

Ces hackers nord-coréens passent par Google Drive pour voler vos données

Une porte dérobée est exploitée activement par le groupe de hackers ScarCruft, lié à la Corée du Nord. Celle-ci leur permet de réaliser des missions d’espionnage poussées sur leurs cibles en interceptant des fichiers sensibles, des identifiants et même les frappes de clavier.

Hacker
Une porte dérobée exploitée par des hackers liés à Pyongyang © Pexels

ScarCruft est un groupe de pirates piloté par la Corée du Nord. Ils visent principalement des cibles liées à la Corée du Sud et à des organisations gouvernementales et militaires en lien avec les intérêts de Pyongyang. L’éditeur de suites de sécurité ESET vient de documenter le fonctionnement d’une porte dérobée exploitée par ces hackers.

Baptisée Dolphin, celle-ci leur permet de réaliser leurs missions d’espionnage : surveillance des appareils portables, interception des fichiers sensibles, enregistrement de frappes, captures d’écrans, vol d’identifiants… Toutes ces données sont ensuite rangées dans des archives ZIP chiffrées avant d’être téléverser sur Google Drive.

Dolphin offre de multiples possibilités d’espionnage

Avant que la porte dérobée s’installe, les pirates de ScarCruft compromettent les systèmes de leurs cibles grâce à des logiciels malveillants moins complexes. Une fois propagé, “le malware parcourt les lecteurs des systèmes compromis à la recherche de fichiers de valeur et les exfiltre vers Google Drive”, précise le chercheur Filip Jurčacko. Les pirates peuvent notamment changer les paramètres Google et Gmail de ses cibles “afin de réduire leur sécurité, vraisemblablement pour maintenir l’accès au comptes Gmail pour les auteurs de la menace”.

À lire > Piraté par la Corée du Nord, un hacker se venge en cassant leur Internet

L’année dernière, les pirates avaient réussi à ouvrir une porte dérobée (BLUELIGHT) contre un média sud-coréen. Fort de cette percée, ScarCruft avait ensuite réussi à déployer “une seconde porte dérobée plus sophistiquée sur des victimes sélectionnées via cette première porte dérobée”, souligne le chercheur. Il s’agissait donc de Dolphin.

Ce qui rend cette backdoor beaucoup plus puissante que BLUELIGHT, c’est sa capacité à rechercher des appareils amovibles et des smartphones connectés avant d’exfiltrer des fichiers d’intérêt, tels que des médias, des documents, des e-mails et des certificats. Depuis sa découverte initiale, Dolphin s’est décliné en trois itérations successives. Outre des l’amélioration des fonctionnalités d’espionnage, chaque nouvelle version a permis de rendre la porte dérobée moins détectable.

Source : ESET