Cette campagne, qui se poursuit encore aujourd’hui, a été identifiée par l’Agence nationale de la police (NPA) et le Centre de cybersécurité du Cabinet japonais. Les enquêteurs ont observé des phases distinctes dans cette opération, chacune marquée par des cibles et des méthodes d’attaque variées.
Le principal objectif de ces attaques est de dérober des informations sensibles concernant des technologies japonaises avancées et de collecter des informations sur la sécurité nationale. MirrorFace, également connu sous le nom d’« Earth Kasha », a été repéré en train de cibler des politiciens japonais avant des élections, en utilisant des courriels de phishing pour déployer un logiciel malveillant appelé ‘MirrorStealer’. Ce dernier, combiné à un accès non autorisé via le backdoor ‘LODEINFO’, a permis aux hackers de compromettre des systèmes critiques.
Cibler le gouvernement et la technologie #
Selon l’analyse de la NPA, les hackers de MirrorFace exploitent des failles dans des équipements réseau, notamment la vulnérabilité CVE-2023-28461 dans les dispositifs d’Array Networks et d’autres vulnérabilités dans les appareils Fortinet et Citrix ADC/Gateway. Après avoir réussi à pénétrer les réseaux, ces acteurs malveillants infectent les systèmes ciblés avec des familles de logiciels malveillants comme LODEINFO et ANEL.
À lire les dernières rumeurs sur la nintendo switch 2 : un stockage innovant à l’horizon
Cette stratégie leur permet de procéder à l’exfiltration de données tout en maintenant un accès persistant à long terme. La NPA a identifié trois campagnes distinctes menées par les hackers de MirrorFace, chacune ayant ses propres cibles et méthodes d’infection :
- Campagne A (2019–2023) : Ciblage de think tanks, d’entités gouvernementales, de politiciens et de médias via des courriels contenant des malwares.
- Campagne B (2023) : Exploitation de vulnérabilités logicielles dans des dispositifs connectés à Internet, visant des secteurs clés comme les semi-conducteurs et l’aéronautique.
- Campagne C (2024–présent) : Utilisation de liens malveillants dans des courriels pour infecter des académies, think tanks, politiciens et médias.
Méthodes d’évasion via VSCode et Windows Sandbox #
La NPA souligne deux méthodes d’évasion que MirrorFace utilise pour rester actif dans les réseaux sans déclencher d’alerte. La première consiste à établir des tunnels via Visual Studio Code, ce qui est réalisé par le malware ANEL sur le système compromis. Ces tunnels permettent aux hackers de recevoir des commandes, généralement sous forme de commandes PowerShell.
« L’utilisation de tunnels VSCode pour des communications discrètes est une méthode bien documentée, auparavant attribuée à d’autres hackers soutenus par l’État chinois. »
De plus, MirrorFace utilise Windows Sandbox depuis juin 2023 pour exécuter LOADEINFO dans un environnement isolé, contournant ainsi la détection antivirus. Windows Sandbox est un environnement de bureau virtualisé qui permet d’exécuter des commandes sans interférer avec le système d’exploitation hôte, rendant la détection par des outils comme Microsoft Defender difficile.
Les acteurs malveillants peuvent exécuter leur malware tout en maintenant un accès aux fichiers locaux via des dossiers partagés. La NPA recommande aux administrateurs systèmes de surveiller les journaux PowerShell suspects, les communications non autorisées avec les domaines VSCode et toute activité inhabituelle dans le sandbox.
Recommandations pour les entreprises #
Pour contrer ces menaces, il est crucial que les organisations mettent en place des mesures de surveillance rigoureuses. Bien qu’il soit impossible de consigner les commandes exécutées dans Windows Sandbox, la NPA suggère de configurer des politiques Windows sur l’hôte afin d’auditer la création de processus. Cela permettrait de détecter l’utilisation non autorisée de Windows Sandbox et d’enquêter sur les configurations utilisées.
À lire Découvrez les 10 applications indispensables pour économiser sur vos courses alimentaires
Les entreprises qui n’utilisent normalement pas Windows Sandbox peuvent ainsi identifier son utilisation et réagir en conséquence. En restant vigilants et en appliquant ces recommandations, les organisations peuvent mieux protéger leurs systèmes et leurs informations contre les cybermenaces croissantes.
Wow, c’est fou ce que ces hackers peuvent faire ! 😱
Je me demande si le gouvernement japonais a une stratégie efficace pour contrer ça.
Merci pour cet article, c’est super intéressant !
Des hackers qui utilisent VSCode ? C’est un peu ironique, non ? 😂
Je suis sceptique sur l’efficacité des recommandations. Est-ce vraiment suffisant ?
Les politiciens japonais doivent être sur leurs gardes, surtout avant les élections !
Est-ce que d’autres pays sont touchés par des attaques similaires ?
MirrorFace, c’est un nom qui fait flipper !
Il faut vraiment que les entreprises prennent ça au sérieux !
Je n’y comprends rien, mais ça a l’air inquiétant… 😨
Les failles de sécurité, c’est un vrai casse-tête pour les gouvernements !
Pourquoi le gouvernement ne communique-t-il pas plus sur ce sujet ?
J’espère que les autorités japonaises vont agir rapidement !
Utiliser Windows Sandbox pour échapper à la détection ? C’est vraiment astucieux !
Quelles technologies japonaises sont réellement menacées ?
Le phishing, c’est toujours la même vieille méthode… 😒
Je suis impressionné par la sophistication de ces attaques.
Ce genre d’articles est crucial pour sensibiliser le public.
Les hackers doivent être très intelligents pour contourner ces systèmes.
Est-ce que le Japon est vraiment préparé à ce genre de cybermenace ?
Comment un simple email peut causer tant de dégâts ?!
Ça fait flipper de penser que des hackers peuvent agir impunément…
Merci pour ces détails techniques, c’est captivant !
En fait, je croyais que les hackers ciblaient surtout les entreprises privées !
Est-ce que ces attaques pourraient influencer les relations internationales ? 🤔
Une vraie guerre cybernétique à laquelle on assiste !