PLATINE (groupe de cybercriminalité) - PLATINUM (cybercrime group)
PLATINUM est le nom donné par Microsoft à un collectif de cybercriminalité actif contre les gouvernements et les organisations apparentées en Asie du Sud et du Sud-Est . Ils sont secrets et on ne sait pas grand-chose des membres du groupe. La compétence du groupe fait que ses attaques passent parfois sans détection pendant de nombreuses années.
Le groupe, considéré comme une menace persistante avancée , est actif depuis au moins 2009, ciblant les victimes via des attaques de spear-phishing contre les adresses e-mail privées des représentants du gouvernement , des exploits zero-day et des vulnérabilités de correctifs à chaud. En accédant aux ordinateurs de leurs victimes, le groupe vole des informations économiquement sensibles.
PLATINUM a réussi à garder un profil bas jusqu'à ce que leur abus du système de correctifs à chaud de Microsoft Windows soit détecté et signalé publiquement en avril 2016. Cette méthode de correctifs à chaud leur permet d'utiliser les propres fonctionnalités de Microsoft pour rapidement corriger, modifier des fichiers ou mettre à jour une application, sans redémarrer l'ensemble du système, de cette façon, ils peuvent conserver les données qu'ils ont volées tout en masquant leur identité.
En juin 2017, PLATINUM s'est fait remarquer pour exploiter les capacités série sur LAN (SOL) de la technologie de gestion active d'Intel pour effectuer l'exfiltration de données.
Les techniques de PLATINUM
PLATINUM est connu pour exploiter des plugins Web , infiltrant à un moment donné les ordinateurs de plusieurs fonctionnaires du gouvernement indien en 2009, en utilisant un site Web fournissant un service de messagerie électronique.
Une fois en contrôle de l'ordinateur d'une cible, les acteurs PLATINUM peuvent se déplacer sur le réseau de la cible à l' aide de modules malveillants spécialement conçus . Ceux-ci ont été soit écrits par l'une des multiples équipes travaillant sous l'égide du groupe Platinum, soit ils auraient pu être vendus via un certain nombre de sources extérieures avec lesquelles Platinum traite depuis 2009.
En raison de la diversité de ce malware, dont les versions ont peu de code en commun, les enquêteurs de Microsoft l'ont taxé en familles.
Le malware le plus utilisé par PLATINUM a été surnommé Dispind par Microsoft. Ce logiciel malveillant peut installer un enregistreur de frappe , un logiciel qui enregistre (et peut également être capable d'injecter) les frappes au clavier.
PLATINUM utilise également d'autres logiciels malveillants tels que "JPIN" qui s'installe dans le dossier %appdata% d'un ordinateur afin qu'il puisse obtenir des informations, charger un enregistreur de frappe, télécharger des fichiers et des mises à jour et effectuer d'autres tâches telles que l'extraction de fichiers pouvant contenir des informations sensibles.
"Adbupd" est un autre programme malveillant utilisé par PLATINUM, et est similaire aux deux mentionnés précédemment. Il est connu pour sa capacité à prendre en charge les plugins, il peut donc être spécialisé, le rendant suffisamment polyvalent pour s'adapter à divers mécanismes de protection.
Exploitation Intel
En 2017, Microsoft a signalé que PLATINUM avait commencé à exploiter une fonctionnalité des processeurs Intel . La fonctionnalité en question est l'AMT Serial-over-LAN (SOL) d'Intel, qui permet à un utilisateur de contrôler à distance un autre ordinateur, en contournant le système d'exploitation hôte de la cible, y compris les pare-feu et les outils de surveillance au sein du système d'exploitation hôte.
Sécurité
Microsoft conseille aux utilisateurs d'appliquer toutes leurs mises à jour de sécurité afin de minimiser les vulnérabilités et de garder les données hautement sensibles hors des grands réseaux. Parce que PLATINUM cible les organisations, les entreprises et les branches gouvernementales pour acquérir des secrets commerciaux, toute personne travaillant dans ou avec de telles organisations peut être une cible pour le groupe.