Le malware HiatusRAT fait parler de lui à nouveau avec une série d'attaques ciblées. Plusieurs entreprises taïwanaises sont concernées ainsi qu'un serveur du Département de la Défense aux USA.
Une nouvelle vague d'activités des auteurs de ce malware a été récemment détectée. Dans un contexte où les attaques informatiques augmentent d'année en année, les inquiétudes concernant la persévérance de certains hackers augmentent elles aussi. En effet, HiatusRAT était déjà connu et répertorié, mais cela n'a pas empêché ses auteurs de réitérer en changeant de tactique pour mener à bien ces nouvelles attaques.
Un nouveau modus operandi pour contourner les systèmes de sécurité
Cela faisait un petit moment qu'il n'avait pas fait parler de lui. HiatusRAT avait apparemment été utilisé entre juillet 2022 et mars 2023 pour cibler des routeurs d'entreprise et collecter des données en Amérique latine, en Europe et aux USA. Silence radio depuis, mais il semblerait que les auteurs de HiatusRAT aient remis leur bébé au travail.
Ces nouvelles attaques ont été rondement menées grâce à une technique inédite chez ce groupe de hackers. Des échantillons de logiciels malveillants ont été utilisés. Selon Lumen Black Lotus Labs, ces logiciels étaient recompilés pour différentes architectures et hébergés sur des nouveaux VPS (Virtual Private Server). Une fois ceux-ci bien au chaud sur ces nouveaux serveurs, les hackers peuvent lancer des attaques de reconnaissance et rechercher des vulnérabilités sur les systèmes informatiques ciblés. Le gros problème auquel doivent faire face les victimes de ces attaques est que leur provenance est pour le moment complètement inconnue.
Les cibles concernées
Cette fois ci, les hackers ont ciblé des organisations très spécifiques. Premièrement, des entreprises responsables de la fabrication de semi-conducteurs et de produits chimiques situées à Taïwan. Une organisation de l'État insulaire a également été concernée. Ensuite, un des serveurs du Département de la Défense des États-Unis a lui aussi été ciblé. Celui-ci était lié en partie aux processus de gestion inhérents aux contrats de défense. Des organisations qui détiennent donc des renseignements très sensibles.
À l'échelle mondiale, ce sont cent appareils réseau qui ont été infectés par HiatusRAT, ce qui a permis la collecte passive d'une grande quantité de données de trafic. Une fois récupérées, celles-ci ont été transformées en infrastructure de commande et de contrôle (baptisée C2 dans le jargon), ce qui permet aux hackers de maintenir les communications avec les appareils infectés.
Toutes ces attaques ont été observées entre juin et août 2023 et témoignent de la persistance des auteurs de HiatusRAT pour déjouer les systèmes de sécurité. Celles-ci étaient spécifiquement concoctées pour s'attaquer aux architectures Intel 80386, Arm, x86-64, i386, MIPS et MIPS64. Même si l'objectif de ces attaques n'a pas été clairement déterminé, les cibles choisies par les hackers ont de quoi susciter l'inquiétude.
Source : The Hacker News
