Les organisations exécutant d’anciennes applications Java sur leurs systèmes pourraient finir par voir leurs réseaux ciblés et infiltrés par un groupe de menaces à motivation financière connu sous le nom de « Elephant Beetle » ou TG2003.
L’équipe de réponse aux incidents (IR) de la société de cybersécurité Sygnia a passé les deux dernières années à suivre Elephant Beetle alors que le groupe s’en prenait aux organisations des secteurs de la finance et du commerce en Amérique latine, selon un nouveau billet de blog.
Elephant Beetle est un acteur de menace sophistiqué qui utilise un arsenal de plus de 80 outils et scripts uniques dans ses attaques. Pour aggraver les choses, le groupe exécute patiemment ses attaques sur de longues périodes de temps en se fondant dans l’environnement d’une cible et en passant complètement inaperçu tout en volant de grosses sommes d’argent à des organisations sans méfiance.
Bien que Elephant Beetle semble se concentrer principalement sur les organisations d’Amérique latine, cela ne signifie pas que les entreprises basées dans d’autres régions sont sûres. Par exemple, l’équipe IR de Sygnia a découvert que les opérations latino-américaines d’une société basée aux États-Unis avaient été violées par le groupe, ce qui signifie que les organisations régionales et mondiales devraient être à l’affût.
Attaques basées sur Java
Elephant Beetle est très compétent dans les attaques basées sur Java selon Sygnia et dans de nombreux cas, il cible les applications Java héritées s’exécutant sur des systèmes Linux comme moyen d’entrée initiale dans l’environnement d’une organisation. Dans le même temps, le groupe va même jusqu’à déployer sa propre application web Java complète sur les machines victimes pour faire ses enchères alors que ces machines exécutent également des applications légitimes.
Dans la première phase d’une attaque qui peut durer jusqu’à un mois, Elephant Beetle se concentre sur le renforcement des cybercapacités opérationnelles dans un environnement compromis. Pendant ce temps, le groupe étudie le paysage numérique du réseau d’une organisation et plante des portes dérobées tout en personnalisant ses outils pour qu’ils fonctionnent dans l’environnement.
À partir de là, Elephant Beetle passe plusieurs mois à étudier l’environnement d’une victime en se concentrant sur ses opérations financières et en identifiant les défauts. Le groupe observe également le logiciel et l’infrastructure d’une victime pour comprendre le processus technique de leurs transactions financières légitimes. Elephant Beetle crée alors des transactions frauduleuses dans l’environnement et bien qu’elles puissent sembler insignifiantes en termes de montants volés, au fil du temps, elles peuvent s’élever à des millions de dollars.
En plus d’être patient, le groupe est également prompt à battre en retraite et à faire profil bas pendant quelques mois si une activité de vol est découverte et bloquée. Par la suite, Elephant Beetle revient plusieurs mois plus tard et cible un système différent.
Nous en entendrons probablement plus sur Elephant Beetle et ses activités alors que Sygnia continue de surveiller le groupe. D’ici là, les organisations exécutant des applications Java sur leurs systèmes doivent s’assurer que leurs protocoles de sécurité et leurs logiciels sont à jour pour éviter d’être ciblées.
Nous avons également arrondi le meilleur antivirus, meilleur logiciel de suppression de malware et meilleur logiciel de protection des terminaux