Cybersécurité industrielle

L’attaque hors-norme de PseudoManuscrypt

Une attaque informatique a affecté un nombre surprenant de systèmes de contrôle industriel.

Enoch Root
23 Déc 2021

En juin 2021, nos spécialistes ont découvert un nouveau malware connu comme PseudoManuscrypt. Les méthodes utilisées par PseudoManuscrypt sont assez courantes pour un logiciel espion. Il agit comme un enregistreur de frappe, ce qui lui permet de recueillir des informations sur les connexions VPN établies et les mots de passe sauvegardés, de voler le contenu du presse-papiers, d’enregistrer le son grâce au microphone intégré (si l’ordinateur en a un) et de faire des captures d’écran. Une variante peut aussi voler les identifiants de connexion aux services de messagerie QQ et WeChat, enregistrer les vidéos et désactiver les solutions de sécurité. Ensuite, il envoie les données aux serveurs des cybercriminels.

Nous vous invitons à lire notre rapport ICS CERT pour obtenir plus de détails techniques sur cette attaque et pour connaître les indicateurs de compromission.

L’origine du nom

Nos experts ont trouvé quelques ressemblances entre cette nouvelle attaque et la campagne déjà connue Manuscrypt. Pourtant, l’analyse a révélé qu’un acteur complètement différent, du groupe APT41, a antérieurement utilisé une partie du code du malware dans ses attaques. Nous devons encore déterminer qui sont les responsables de cette nouvelle attaque, et pour le moment nous avons décidé de l’appeler PseudoManuscrypt.

Comment PseudoManuscrypt infecte le système

L’infection réussie dépend d’une succession d’événements assez complexes. L’attaque de l’ordinateur commence généralement lorsque l’utilisateur télécharge et exécute un malware qui se fait passer pour une archive d’installation piratée d’un célèbre programme.

Vous pouvez trouver l’appât utilisé par PseudoManuscrypt en recherchant un logiciel piraté sur Internet. Les sites qui distribuent des codes malveillants en utilisant des requêtes populaires sont très bien placés dans les résultats des moteurs de recherche, et il semblerait que les cybercriminels le savent bien.

Vous comprenez alors pourquoi il y a eu tellement de tentatives d’infection des systèmes industriels. En plus de présenter le malware comme un célèbre logiciel (suites Office, solutions de sécurité, systèmes de navigation et jeux de tir en 3D), les cybercriminels proposent aussi de fausses archives d’installation de logiciels professionnels, dont certains outils qui permettent d’interagir avec les automates programmables industriels (API) via ModBus. Résultat : un nombre anormalement élevé d’ordinateurs avec des systèmes de contrôle industriel (SCI) sont infectés (7,2 % du total).

Résultats obtenus lors de la recherche de logiciels piratés. PseudoManuscrypt apparaît dans le premier lien. Source

L’exemple ci-dessus montre les résultats obtenus lorsque l’on recherche un logiciel destiné aux administrateurs système et aux ingénieurs réseau. En théorie, ce vecteur d’attaque pourrait permettre aux cybercriminels d’avoir pleinement accès à l’infrastructure de l’entreprise.

Les cybercriminels utilisent aussi un mécanisme de livraison de type malware en tant que service (MaaS) puisqu’ils paient d’autres escrocs pour distribuer PseudoManuscrypt. Cette pratique a donné lieu à une caractéristique intéressante que nos experts ont découverte lorsqu’ils analysaient la plateforme MaaS. PseudoManuscrypt était parfois associé à un autre malware que la victime installait en un paquet unique. L’espionnage est la finalité de PseudoManuscrypt mais les autres programmes malveillants peuvent avoir d’autres objectifs, comme le chiffrement des données pour demander le paiement d’une rançon.

Qui est victime de PseudoManuscrypt

PseudoManuscrypt a énormément été détecté en Russie, en Inde, au Brésil, au Vietnam et en Indonésie. Étant donné le nombre considérable de tentatives d’exécution du code malveillant, il faut savoir que les utilisateurs d’entreprises industrielles représentent une grande partie des victimes. Il s’agit notamment des responsables des systèmes d’automatisation, d’entreprises du secteur de l’énergie, de fabricants, d’entreprises de construction et même de fournisseurs de services pour les stations d’épuration. De plus, un nombre inhabituel d’ordinateurs infectés étaient impliqués dans des processus d’ingénierie et dans la production de nouveaux produits des groupes industriels.

Comment se protéger contre PseudoManuscrypt

Pour ne pas être victime de PseudoManuscrypt, vous devez avoir des solutions de protection fiables et régulièrement mises à jour sur tous les systèmes de l’entreprise. De plus, nous vous conseillons de mettre en place des politiques qui compliquent la désactivation de la protection.

Quant aux systèmes informatiques industriels, nous disposons d’une solution spécifique, Kaspersky Industrial CyberSecurity, qui protège les ordinateurs (y compris les plus spécialisés) et surveille les transferts de données qui ont des protocoles spécifiques.

N’oubliez pas que la formation du personnel est cruciale pour que tous connaissent les risques en cybersécurité. Vous ne pouvez pas complètement écarter l’éventualité d’une attaque d’hameçonnage particulièrement astucieuse, mais vous pouvez aider vos équipes à faire attention et vous pouvez les former sur les risques qu’ils prennent lorsqu’ils installent un programme non autorisé (surtout s’il est piraté) sur les ordinateurs ayant accès aux systèmes industriels.

Podcast : Cyber Pop épisode 10

Dans ce nouvel épisode de Cyber Pop, nous vous proposons le replay de l’émission Et Demain Notre ADN en partenariat avec l’ADN. Retrouvez Bertrand Trastour, General Manager Kaspersky France, Afrique du Nord, de l’Ouest et du Centre et Valérie Utges, Spécialiste protection des données et stratégies de sécurité, au micro de Carolina Tomaz, Rédactrice en chef de Et Demain Notre ADN.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

L’attaque hors-norme de PseudoManuscrypt

L’origine du nom

Comment PseudoManuscrypt infecte le système

Qui est victime de PseudoManuscrypt

Comment se protéger contre PseudoManuscrypt

Kaspersky Next : une nouvelle gamme de solutions de sécurité

Des distributions Linux infectées par un code malveillant

Podcast : Cyber Pop épisode 10

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky