Hoplight est un nouveau logiciel espion, déjà activement utilisé contre des entreprises et institutions basées aux Etats-Unis. Capable de collecter des informations système et exfiltrer des fichiers et des données, ou encore injecter du code dans divers processus et télécharger des logiciels malveillants supplémentaires, il pourrait être pratique pour quiconque voulant perturber les opérations d’une entreprise. L’opération est non négligeable : plus de 15 adresses IP ont déjà été reconnues comme étant associées à l’infrastructure Hoplight. Les certificats des exécutables sont signés Naver.com, premier moteur de recherche coréen.
Le groupe nord-coréen Lazarus ou Hidden Cobra, auteur des piratages de Sony en 2014 et des attaques bancaires contre des systèmes SWIFT, qui serait également derrière la fameuse attaque WannaCry, utilisait d’autres logiciels auparavant pour le même genre d’opérations : un logiciel d'accès à distance (RAT) nommé Joanap et un ver SMB connu sous le nom de Brambul, deux codes un peu vieillots qui avaient été mis à jour pour cibler plus efficacement les informations sensibles. Les pirates ont de plus en plus dans leur viseur les entreprises américaines et mettent régulièrement à jour leur arsenal.
Pour éviter une compromission, les utilisateurs et administrateurs devraient suivre les meilleures pratiques, en particulier appliquer la mise à jour des correctifs et des antivirus ; activer les pare-feux des postes de travail ; mettre en place la vérification des courriels et des téléchargements pour mettre en quarantaine ou bloquer les pièces jointes et les fichiers suspects et limiter les droits des utilisateurs pour installer des logiciels.
Comments