in

Des pirates chinois frappent Citrix et les vulnérabilités de Cisco lors d’une vaste campagne

La campagne, qui a duré du 20 janvier au 11 mars, a ciblé 75 organisations dans presque tous les secteurs économiques.

Plus tôt cette année, les pirates chinois soutenus par l’État ont lancé l’une des campagnes d’espionnage chinois les plus radicales que FireEye ait vues depuis des années, selon de nouvelles recherches publiées mercredi par la société de sécurité.

La campagne, qui a duré du 20 janvier au 11 mars, a ciblé 75 organisations dans presque tous les secteurs économiques: télécommunications, soins de santé, gouvernement, défense, finances, pétrochimie, fabrication et transports. La campagne, censée être dirigée par APT41, ciblait également les organisations à but non lucratif, juridiques, immobilières, de voyage, d’éducation et des médias.

« Cette activité est l’une des campagnes les plus répandues que nous ayons vues des acteurs d’espionnage de China-Nexus ces dernières années », ont déclaré les chercheurs Christopher Glyer, Dan Perez, Sarah Jones et Steve Miller. « Bien qu’APT41 ait déjà mené des activités avec une entrée initiale étendue … cette analyse et cette exploitation se sont concentrées sur un sous-ensemble de nos clients et semblent révéler un rythme opérationnel élevé et de vastes exigences de collecte pour APT41. »

APT41 a ciblé les victimes en s’attaquant aux vulnérabilités du contrôleur de distribution d’applications (ADC) de Citrix, des routeurs de Cisco et de ManageEngine Desktop Central de Zoho, selon FireEye.

La vulnérabilité Citrix a été révélée publiquement un mois avant la campagne d’APT41, et un chercheur n’a révélé le code d’une vulnérabilité d’exécution de code à distance dans Zero Day dans Zoho ManageEngine Desktop Central que trois jours avant que le groupe n’en profite, ce qui suggère que le groupe est intéressé à profiter rapidement des avantages des défauts signalés.

« Cette nouvelle activité de ce groupe montre à quel point ce groupe est ingénieux et rapide à exploiter les vulnérabilités nouvellement révélées », ont déclaré les chercheurs.

FireEye n’a pas de copie du malware déployé contre les routeurs Cisco, mais a des raisons de croire qu’APT41 a conçu un malware en interne pour réussir son ciblage, a déclaré Glyer à CyberScoop.

«Il est probable qu’APT41 ait dû développer des logiciels malveillants personnalisés pour cibler les routeurs Cisco car des échantillons publics ne sont pas disponibles», a déclaré Glyer.

Ce n’est pas la première fois qu’APT41 s’en prend au secteur des télécommunications. L’année dernière, le groupe s’est concentré sur la collecte des données des enregistrements d’appels et des SMS après avoir violé une entreprise de télécommunications, selon une enquête antérieure de FireEye. À l’époque, Steve Stone, directeur des pratiques avancées chez FireEye, a déclaré à CyberScoop APT41 qu’il semblait intéressé par les conversations des dissidents politiques.

FireEye a donné un nom au groupe l’année dernière pour la première fois, mais le groupe est connu pour mener un cyberespionnage parrainé par l’État. Il a également mené des cyber-opérations visant à un gain personnel ou financier. APT41 a également ciblé le secteur des jeux, piraté des organisations axées sur la recherche sur le cancer et exploité avec succès un Atlassian Vulnérabilité Confluence contre une université basée aux États-Unis, selon FireEye.

APT41, dans cette campagne en particulier, a poursuivi le secteur bancaire le plus fréquemment, suivi par des objectifs d’enseignement supérieur et de fabrication et de technologie, a déclaré Chris Glyer, architecte en chef de la sécurité de FireEye à CyberScoop.

Connaissance des cibles et accès diversifié

Bien que certains objectifs de la campagne d’APT41 au début de cette année fassent écho à ses croisades précédentes, les objectifs de l’attaque sont moins clairs.

En février, APT41 a réussi à exploiter avec succès un routeur Cisco RV320 dans une entité de télécommunications, mais FireEye n’a pas de visibilité sur l’exploit utilisé. Il est également difficile de savoir si APT41 a réellement volé des données de ses cibles tout au long de la campagne.

« Sur la base de notre visibilité actuelle, il est difficile d’attribuer un motif ou une intention à l’activité d’APT41 », a déclaré Glyer à CyberScoop. « Il y a plusieurs explications possibles à l’augmentation de l’activité, y compris la guerre commerciale entre les États-Unis et la Chine ainsi que la pandémie COVID-19 poussant la Chine à vouloir des renseignements sur une variété de sujets, notamment le commerce, les voyages, les communications, la fabrication, la recherche et relations internationales. »

Glyer a déclaré que l’explication la plus probable du large ciblage était que APT41 s’efforce de définir les exigences de collecte actuelles et futures. S’il s’agit d’une indication de ce qui est une priorité, le ciblage basé sur Citrix représentait la part du lion de l’attention d’APT41, a déclaré Glyer.

Le ciblage basé sur Citrix du groupe indique qu’APT41 peut avoir eu une certaine connaissance préalable de leurs cibles, suggérant que la campagne a été adaptée.

«(A) toutes les demandes observées n’ont été effectuées que sur des appareils Citrix, suggérant qu’APT41 fonctionnait avec une liste déjà connue d’appareils identifiés accessibles sur Internet», ont écrit les chercheurs.

Pour exploiter les vulnérabilités des appareils Citrix ADC et Citrix Gateway entre janvier et février, les pirates ont d’abord effectué une première vérification pour voir si la cible avait déjà appliqué le correctif pour CVE-2019-19781 et de collecter des informations sur l’architecture qui peuvent aider le groupe à installer une porte dérobée ultérieurement. Après une brève pause d’activité pendant le Nouvel An lunaire – comme c’est le cas pour les pirates chinois – et pendant les quarantaines liées aux coronavirus en Chine, APT41 a finalement travaillé pour télécharger une charge utile inconnue, nommée «bsd», que FireEye soupçonne d’être une porte dérobée.

APT41 s’est également avéré apte à réagir aux changements dans l’environnement des victimes. L’exploitation par les pirates de la vulnérabilité Zoho, par exemple, a montré qu’ils étaient préoccupés par le maintien de l’accès aux machines des victimes. FireEye dit que le groupe a travaillé pour utiliser à la fois un téléchargeur Meterpreter et un shellcode Cobalt Strike BEACON, qui communiquaient tous les deux avec le même serveur de commande et de contrôle.

« Nous pensons que c’est un exemple de l’acteur qui tente de diversifier l’accès post-exploitation aux systèmes compromis », écrivent les chercheurs.

Un indice que les pirates auraient pu travailler pour dissimuler leurs activités peut résider dans le fait que les pirates ne se sont appuyés que sur des logiciels malveillants accessibles au public, tels que Cobalt Strike et Meterpreter, dans cette campagne, car l’utilisation de logiciels malveillants à ce stade «peut-elle rendre l’attribution plus difficile », A déclaré Glyer à CyberScoop.

 

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Date de sortie du Huawei P40, prix, actualités et tout ce que vous devez savoir

iOS 13.4 est chargé de bogues – pourquoi vous devriez attendre la mise à niveau