Ke3chang
L'un des groupes de piratage informatique les plus populaires, dont on pense qu'il vient de Chine, est Ke3chang APT (Advanced Persistent Threat). Ils sont également connus comme APT15. Au fil du temps, les chercheurs de programmes malveillants ont suivi de près l’activité du groupe de piratage informatique Ke3chang et ont fait des découvertes intéressantes. Il semble que les campagnes d'APT15 présentent des similitudes importantes avec celles d'autres groupes de piratage chinois, telles que des tactiques similaires, une infrastructure presque identique et des charges équivalentes. Playful Dragon, GREF, RoyalAPT, Vixen Panda et Mirage font partie des groupes de piratage basés en Chine. Habituellement, de telles similitudes signifient deux choses - certains pirates informatiques bien connus sont membres de plusieurs groupes ou/et les groupes de pirates informatiques partagent des informations et des techniques mutuellement bénéfiques.
Table des matières
L’Arsenal d’Outils de Piratage de Ke3chang
Le groupe de piratage informatique Ke3chang a tendance à s’attaquer à des industries ou à des individus de la plus haute importance. On sait qu'ils ont exécuté des attaques contre les industries militaire et pétrolière, ainsi que contre des diplomates, des politiciens et divers organismes gouvernementaux. Le groupe de pirates informatiques Ke3chang développe ses propres outils de piratage et effectue ses opérations en les utilisant presque exclusivement. Certains des outils du vaste arsenal du groupe Ke3chang sont TidePool, Ketrican, RoyalDNS, BS2005, Okrum et d’autres. Cependant, des experts en cybersécurité ont repéré une campagne dans laquelle le groupe de piratage informatique Ke3chang a utilisé un outil de piratage accessible au public appelé Mimikatz, utilisé pour collecter des informations auprès de l'hôte compromis.
Comment le Groupe Ke3chang Mène ses Attaques Habituellement
En 2010, Ke3chang APT s'est fait connaître grâce à sa campagne infâme contre les politiciens de haut rang en Europe. On sait également qu'ils ont lancé des campagnes en Amérique du Sud ciblant des individus similaires. Habituellement, le groupe de pirates informatiques Ke3chang s’assure d’infiltrer un hôte et de collecter des informations sur le système, telles que des données logicielles et matérielles. Cela aide les attaquants à décider quel serait le moyen le plus efficace de poursuivre l'opération. D'autres données sont également exfiltrées, telles que les journaux de discussion, les mots de passe, les documents, etc. Ensuite, les attaquants peuvent choisir d'utiliser leurs privilèges sur la machine compromise et de tenter d'infiltrer d'autres systèmes potentiellement vulnérables connectés au même réseau.
Le Logiciel Malveillant Okrum
Le joyau de la couronne du groupe Ke3chang est le malware Okrum. Cette menace est complexe et particulièrement impressionnante. Le groupe de pirates informatiques utilise également une méthode de propagation assez complexe - la stéganographie. Cette technique implique l’injection du script compromis de la menace dans un fichier PNG spécialement adapté.
Habituellement, le groupe de piratage Ke3chang veille à gagner en persistance dans le système infecté. Cela les aide à garder la menace plantée active pendant de plus longues périodes.
