Les opérations de jeux d’argent en ligne en Asie du Sud-Est ont fait l’objet d’attaques par des menaces persistantes avancées (APT) depuis des années, selon un rapport récent publié par l’Institut de la sécurité des télécommunications. Kasperskyl’entreprise multinationale russe leader en matière de cybersécurité, révèle.
Kaspersky identifie une nouvelle activité de pirates informatiques
Cependant, les chercheurs de Kaspersky ont identifié une nouvelle activité de piratage de « GamePlayerFramework » déployée par une organisation appelée « DiceyF ». L’organisation aurait distribué des logiciels malveillants ciblant les opérations de casino en ligne. En infectant les systèmes des victimes, DiceyF avait un accès permanent à leurs bases de données. Selon les chercheurs de Kaspersky, de telles activités existent depuis des années, mais ce GamePlayerFramework spécifique est un nouveau logiciel qui a utilisé un « chargeur à plusieurs étapes » repensé et réécrit en C#.
« Nous appelons cette APT « DiceyF ». Ils ciblent les casinos en ligne et d’autres victimes en Asie du Sud-Est depuis des années, semble-t-il,«
lit un rapport publié par Kaspersky
Il est probable que la nouvelle activité du pirate DiceyF s’aligne sur les ressources similaires de l’activité APT « Earth Berberoka/GamblingPuppet ». Une autre activité de piratage similaire qui s’aligne avec DiceyF est « DRBControl ». Les recherches montrent que ces activités s’alignent en considérant l’utilisation de logiciels malveillants, entre autres outils de piratage. Il est possible que DiceyF ait exploité un certificat numérique volé d’une application de messagerie et ait distribué des logiciels malveillants « via un système de surveillance des employés et un service de déploiement de paquets de sécurité », explique Kaspersky.
« Il est possible que nous ayons un mélange d’espionnage et de vol de propriété intellectuelle, mais les véritables motivations restent un mystère,«
ajoute le rapport de Kaspersky
La principale entreprise russe de cybersécurité a reconnu que l’activité de DiceyF pourrait viser le vol de propriété intellectuelle et l’espionnage. Mais ce qui est étrange dans cette affaire, c’est qu’il n’y a jusqu’à présent aucune preuve de vol d’argent ou de motif financier derrière la récente activité de l’APT.
Référence à Final Fantasy
Outre la motivation mystérieuse derrière l’activité de DiceyF, les chercheurs ont identifié un code particulier dans le GamePlayerFramework. Deux branches différentes ont été identifiées, l’une nommée « Tifa » et l’autre, « Yuna ». Tifa et Yuna sont des références à la célèbre série Final Fantasy, représentant les deux personnages principaux.
Selon les chercheurs, la branche Yuna comportait un téléchargeur, ainsi que des plugins et « divers composants PuppetLoader. » En revanche, le module de la branche Tifa ne comprenait qu’un téléchargeur associé à un module « de base ». Il a été identifié que la branche Tifa exploitait une application utilisée pour la messagerie sécurisée appelée Mango.