Par Thomas Mannierre, Directeur EMEA Sud de BeyondTrust L’IA a fait entrer les braquages dans une nouvelle dimension. Plus besoin d’une cagoule noire désormais. En améliorant les attaques d'ingénierie sociale modernes, l’IA a donné naissance à un autre type de menaces : les deepfakes. Bienvenue dans ce qui pourrait être un épisode de Black Mirror ! Le faux CFO de Hong Kong En début d’année, une entreprise à Hong Kong s’est vue escroquée de 25,6 millions de dollars par un hacker utilisant l’IA et la technologie deepfake pour usurper l’identité d’un directeur financier. Si l'on en croit les rapports d’enquête, l'attaque a simulé un environnement de vidéoconférence complet et utilisé une fausse identité d'un important directeur financier de Hong Kong et d'autres participants à la réunion. La victime ciblée du département financier s'est d'abord méfiée d'un e-mail de phishing prétendant provenir du directeur financier. Cependant, la victime a rejoint une con
Les chercheurs d'ESET, société slovaque spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, publient un rapport sur le groupe de cyber-espions Turla qui détourne les liaisons Internet par satellite pour infecter leurs victimes. Ce rapport détaillé porte sur l’analyse des techniques et méthodologies employées par le groupe, dont la backdoor Carbon.
ESET révèle que le groupe Turla dispose d’un large éventail d'outils visant à récolter les données provenant d'institutions européennes et américaines (USA). Pour éviter de se faire repérer, le groupe Turla change ses outils à chaque nouvelle opération et modifie également les mutex et les noms de dossier de chaque version : dans les trois années qui ont suivi le développement de la version nommée Carbon, les chercheurs ESET ont détecté huit versions actives à ce jour.
Connu pour être minutieux, le groupe Turla effectue d'abord un travail de reconnaissance sur les systèmes de leur victime avant de déployer leurs outils tels que Carbon :
- la première étape d’infection peut avoir lieu soit parce que l’utilisateur reçoit un e-mail infecté (spear-phishing), soit parce qu’il navigue sur un site Internet compromis
- généralement, les pirates ciblent les sites fréquemment utilisés par leur victime (technique connue sous le nom d'attaque de point d'eau : surveillance des habitudes de navigation de la victime)
- lorsque le système est infecté, une backdoor (comme Tavdig ou Skipper) s’installe sur la machine de la victime
- une fois la phase de reconnaissance terminée, une seconde backdoor (comme Carbon) est installée sur des systèmes clés