L’APT Naikon vole les données géopolitiques de nations situées dans la mer de Chine méridionale

19 Mai 2015

L’APT chinois Naikon représente une menace persistante avancée pour les organisations civiles, militaires et gouvernementales situées dans et autour de la mer de Chine méridionale. Cette partie du globe est de plus en plus le théâtre de conflits territoriaux entre plusieurs nations de l’Asie du Sud-Est.

Naikon est également connu sous le nom d’APT-30. Ses cibles, selon un nouveau rapport de l’équipe de recherche et d’analyse de Kaspersky Lab, seraient les Philippines, la Malaisie, le Cambodge, l’Indonésie, le Vietnam, le Myanmar, Singapour, et le Népal.

Tout comme de nombreuses APT, Naikon infecte ses victimes grâce à des mails de spear-phishing dans lesquels des malwares sont déguisés en pièces jointes de documents pertinents. Lorsqu’une victime ouvre l’une des pièces jointes infectée par le malware, un document piégé apparait comme un fichier exécutable, et exploite tranquillement une ancienne vulnérabilité de Microsoft Office, installant ainsi le malware sur le dispositif de la victime.

Durant 5 ans, le groupe spécialisé en APT a engagé des agents de liaison culturels pour chacun des pays ciblés. De cette façon, Naikon a pu exploiter les tendances culturelles et avoir accès à certaines adresses mails afin de mener à bien leur projet. Les criminels ont donc exploité ce filon et ont créé des adresses mail semblables aux adresses mail réelles, afin de jouir d’une certaine crédibilité lors d’envois massifs de mails d’hameçonnage.

L’organisation criminelle a également installé une partie de son commandement et de son infrastructure de contrôle dans les pays ciblés afin d’obtenir, sur place, un support en temps réel, pouvant permettre de voler des données. Ils ont également la capacité de pouvoir intercepter l’ensemble du trafic des réseaux des victimes, puis d’émettre plus de 48 instructions à distance telles qu’obtenir l’inventaire complet des fichiers du système, télécharger et charger des données, installer des modules complémentaires, ou encore travailler en ligne de commande.

Ensemble, ces 48 instructions permettent aux hackers de prendre le contrôle total d’un ordinateur infecté par Naikon. L’ultime quête de Naikon est de se procurer des informations géopolitiques.

Les criminels qui se trouvent derrière les attaques Naikon ont réussi à concevoir une infrastructure très souple pouvant être mise en place dans n’importe quel pays ciblé.

« Les criminels qui se trouvent derrière les attaques Naikon ont réussi à concevoir une infrastructure très souple pouvant être mise en place dans n’importe quel pays ciblé, l’information des systèmes de la victime étant envoyée jusqu’au centre de commandement des hackers de manière sous-terraine », nous explique Kurt Baumgartner, chercheur en sécurité chez Kaspersky Lab. « Si les criminels décident ensuite de traquer une autre cible dans un autre pays, ils n’auront qu’à établir une nouvelle connexion. De plus, le fait d’avoir plusieurs agents concentrés sur un ensemble de cibles rend la chose plus facile pour un réseau d’espionnage tel que Naikon ».

Dans un pays, dont Kaspersky Lab préfère ne pas divulguer le nom, les hackers de Naikon ont réussi à compromettre le bureau du Président, les forces militaires, le bureau du Chef de cabinet, le Conseil National de Sécurité, le bureau du Procureur Général, l’Agence Nationale du Renseignement, les autorités de l’Aviation Civile, le Ministère de la Justice, la police fédérale puis la direction / administration présidentielle et le personnel de gestion.

Les experts de Kaspersky Lab recommandent donc aux utilisateurs de ne jamais ouvrir de pièces jointes provenant de mails dont ils ne connaissent pas la provenance, d’utiliser un anti-malware perfectionné, et de mettre régulièrement à jour les systèmes d’exploitation.