Campagne nord-coréenne « Operation Ghostsecret »
Incident survenu en avril 2018
Un rapport de la société McAffee révèle que des organisations canadiennes ont été touchées par l’opération Ghostsecret, menée par le groupe nord-coréen APT38 (aussi appelé Hidden Cobra, ou Lazarus Group). Un spyware Proxysvc a été installé dans les systèmes informatiques visés, à des fins de reconnaissance, dans une dizaine de pays. Il s’agit d’un logiciel espion servant à lire des fichiers, mais permettant aussi l’exfiltration de données et l’exécution de commandes arbitraires sur le système des victimes. La majorité des victimes seraient dans le domaine de l’enseignement supérieur.
Type d'incident : Cyberespionnage
Type de cible : Secteur public
Origine présumée : Corée du Nord
Auteur présumé : APT 38 (aussi appelé Lazarus Group)
Sources
- Analyse de McAfee : https://www.mcafee.com/blogs/other-blogs/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/
- Wall Street Journal : https://www.wsj.com/articles/operation-ghostsecret-north-korea-is-suspected-in-intensifying-global-cyberattack-1524629807
- IT World Canada : https://www.itworldcanada.com/article/canadian-organizations-victimized-part-of-global-malware-relay-network/404682
