Des hackers qui ont ciblé Facebook, Microsoft, Twitter et Apple, représentent une menace pour la sécurité des entreprises

Un groupe de hackers qui a ciblé Facebook, Microsoft, Twitter et Apple pirate activement pour voler des informations confidentielles à des fins lucratives

Un groupe de hackers qui avait pénétré des entreprises technologiques de haut niveau comme Microsoft, Apple Inc, Facebook Inc et Twitter Inc il y a plus de deux ans est maintenant considéré comme ayant intensifié ses efforts d’espionnage économique alors qu’il cherche des informations commerciales confidentielles et de la propriété intellectuelle afin d’en tirer profit.

Le groupe, identifié comme Wild Neutron ou Morpho par Symantec Corp. et Kaspersky Lab, a pénétré les réseaux de plus de 45 grandes entreprises depuis 2012. Symantec affirme que le groupe semble être parmi les rares à afficher un talent significatif sans le soutien d’un gouvernement national.

« Ils sont très concentrés, voulant tout ce qui a de la valeur chez les plus grandes entreprises du monde », a déclaré Vikram Thakur, un responsable senior de Symantec. « La seule façon dont ils pourraient l’utiliser, à notre avis, est à travers un marché financier ou en le vendant. »

Symantec a déclaré que Morpho avait disparu des radars pendant des mois après que des comptes rendus de presse sur les violations de Microsoft, Apple et d’autres grandes entreprises technologiques au début de 2013 aient mis en lumière leurs techniques, qui comprenaient l’utilisation d’un défaut « zero-day » auparavant inconnu dans la plateforme Java d’Oracle.

Symantec a également déclaré que Morpho utilisait un « watering hole » infectant des sites Web susceptibles d’attirer des employés de ses cibles en tant que visiteurs. Des employés de développeurs d’iPhone ont été ciblés par cette méthode.

Symantec a identifié 49 organisations différentes dans plus de 20 pays qui ont été victimes du groupe Morpho depuis 2012. La majorité d’entre elles provenaient des secteurs technologique, pharmaceutique, des matières premières et juridique et étaient basées aux États-Unis, au Canada ou en Europe.

Kaspersky a identifié d’autres entreprises compromises par le groupe qui sont impliquées dans la cryptomonnaie Bitcoin, les investissements, les soins de santé, l’immobilier, les fusions et acquisitions, ainsi que des utilisateurs individuels.

« Morpho est un groupe d’attaque habile, persistant et efficace qui est actif depuis au moins mars 2012 », ont écrit des chercheurs de la société de sécurité Symantec dans un rapport publié mercredi. « Ils sont bien équipés, utilisant au moins un ou peut-être deux exploits zero-day. Leur motivation est très probablement le gain financier et étant donné qu’ils sont actifs depuis au moins trois ans, ils doivent réussir à monétiser leur opération. »

Des chercheurs de Kaspersky Lab, qui ont publié leur propre rapport indépendant sur Morpho. Le rapport de Kaspersky a déclaré que le groupe est actif depuis au moins 2011, et en plus de l’exploit Java zero-day, Morpho a commencé à utiliser un certificat numérique valide délivré à Acer Incorporated pour contourner les exigences de signature de code intégrées dans les systèmes d’exploitation modernes. Ils ont également détecté l’utilisation récente d’un « exploit Flash Player inconnu, une indication que les attaquants pourraient utiliser un autre exploit zero-day. »

Morpho a pénétré environ 49 organisations dont Symantec a connaissance depuis 2012, avec le nombre de pénétrations chaque année atteignant 14 d’ici 2015. La majorité des victimes de Morpho se situent aux États-Unis, en Europe et au Canada selon Symantec.

Thakur a déclaré que son équipe pense que le groupe pourrait avoir environ 10 membres dans le monde, certains parlant couramment anglais et un ou plusieurs ayant peut-être travaillé dans une agence de renseignement. Ils pourraient se proposer à la location ou pourraient pénétrer des entreprises par spéculation et essayer de vendre les informations ou de négocier des actions basées sur celles-ci.