Une porte dérobée est exploitée activement par le groupe de hackers ScarCruft, lié à la Corée du Nord. Celle-ci leur permet de réaliser des missions d’espionnage poussées sur leurs cibles en interceptant des fichiers sensibles, des identifiants et même les frappes de clavier.
ScarCruft est un groupe de pirates piloté par la Corée du Nord. Ils visent principalement des cibles liées à la Corée du Sud et à des organisations gouvernementales et militaires en lien avec les intérêts de Pyongyang. L’éditeur de suites de sécurité ESET vient de documenter le fonctionnement d’une porte dérobée exploitée par ces hackers.
Baptisée Dolphin, celle-ci leur permet de réaliser leurs missions d’espionnage : surveillance des appareils portables, interception des fichiers sensibles, enregistrement de frappes, captures d’écrans, vol d’identifiants… Toutes ces données sont ensuite rangées dans des archives ZIP chiffrées avant d’être téléversées sur Google Drive.
Dolphin offre de multiples possibilités d’espionnage
Avant que la porte dérobée s’installe, les pirates de ScarCruft compromettent les systèmes de leurs cibles grâce à des logiciels malveillants moins complexes. Une fois propagé, “le malware parcourt les lecteurs des systèmes compromis à la recherche de fichiers de valeur et les exfiltre vers Google Drive”, précise le chercheur Filip Jurčacko. Les pirates peuvent notamment changer les paramètres Google et Gmail de leurs cibles.
À lire > Piraté par la Corée du Nord, un hacker se venge en cassant leur Internet
L’année dernière, les pirates avaient réussi à ouvrir une porte dérobée (BLUELIGHT) contre un média sud-coréen. Fort de cette percée, ScarCruft avait ensuite réussi à déployer “une seconde porte dérobée plus sophistiquée sur des victimes sélectionnées via cette première porte dérobée”, souligne le chercheur. Il s’agissait donc de Dolphin.
Ce qui rend cette backdoor beaucoup plus puissante que BLUELIGHT, c’est sa capacité à rechercher des appareils amovibles et des smartphones connectés avant d’exfiltrer des fichiers d’intérêt, tels que des médias, des documents, des e-mails et des certificats. Depuis sa découverte initiale, Dolphin s’est décliné en trois itérations successives. Outre l’amélioration des fonctionnalités d’espionnage, chaque nouvelle version a permis de rendre la porte dérobée moins détectable.