Bismuth est le nom donné par Microsoft à un groupe de cyberespionnage originaire du Vietnam (et donc rien à voir avec Paul Bismuth, le nom utilisé comme alias par Nicolas Sarkozy ^^) et qui agirait avec le soutien du gouvernement de Hanoï. Actif depuis 2012, il est autrement connu en tant que OceanLotus ou APT32 comme le nomme FireEye.
APT32 a surtout été associé à des attaques de cyberespionnage contre des multinationales, gouvernements, services financiers, établissements d'enseignement ou encore des organisations de défense des droits de l'homme.
Les chercheurs en sécurité de Microsoft 365 Defender Threat Intelligence Team rapportent des campagnes d'attaque atypiques de Bismuth l'été dernier. Le groupe a déployé un malware de cryptominage (pour la cryptomonnaie Monero) dans des attaques ayant visé le secteur privé et des institutions publiques en France et au Vietnam.
Selon Microsoft, les objectifs du groupe restent globalement les mêmes avec du cyberespionnage et de l'exfiltration de données. Inattendu, le cryptominage malveillant serait un moyen d'explorer des possibilités de monétisation de réseaux compromis.
Aussi pour brouiller les pistes
Des experts en cybersécurité ont déjà signalé que des groupes APT ont dérivé des seules activités de cyberespionnage pour le compte d'un État, et ont flirté avec de la cybercriminalité et l'appât du gain financier. Mais cela peut aussi être un jeu de dupe avec une manière de brouiller les pistes sur les visées réelles d'une cyberattaque.
Les chercheurs de Microsoft ont constaté que le groupe Bismuth a tenté d'obtenir un accès au réseau d'une victime avec l'envoi d'emails malveillants spécialement conçus depuis un compte Gmail. Il a également eu recours à des fichiers DLL malveillants pour usurper des fichiers légitimes, et notamment de Microsoft Defender Antivirus. Pour l'attaque, le groupe s'est aussi appuyé sur des scripts PowerShell.
New blog: The threat actor BISMUTH, which has been running increasingly complex targeted attacks, deployed coin miners in campaigns from July to August 2020. Learn how the group tried to stay under the radar using threats perceived to be less alarming: https://t.co/2bmXdYfhvu
— Microsoft Security Intelligence (@MsftSecIntel) November 30, 2020
Reste à voir si l'aventure de Bismuth dans la cybercriminalité restera une exception ou non. Rappelons que la Corée du Nord a été accusée de soutenir des cyberattaques sophistiquées pour générer des revenus et passer outre des sanctions économiques à son encontre.