Des pirates informatiques soutenus par la Chine ont piraté les réseaux gouvernementaux dans au moins six États américains, selon un nouveau rapport

0
190

Un groupe de piratage techniquement avancé soutenu par le gouvernement chinois a compromis les systèmes informatiques d'au moins six gouvernements d'États américains, selon un rapport sur les menaces récemment publié par la société de cybersécurité Mandiant.

Le groupe, que Mandiant appelle APT41, a ciblé les gouvernements des États américains entre mai 2021 et février 2022, selon le rapport. Là où les réseaux ont été piratés, Mandiant a trouvé des preuves de l'exfiltration d'informations d'identification personnelle « compatibles avec une opération d'espionnage », bien que la société ait déclaré qu'elle ne pouvait pas procéder à une évaluation définitive de l'intention pour le moment.

Dans l'ensemble, les recherches de Mandiant brossent le tableau d'un adversaire redoutable, en constante adaptation.

“L'activité récente d'APT41 contre les gouvernements des États américains consiste en de nouvelles capacités importantes, allant de nouveaux vecteurs d'attaque aux outils et techniques post-compromis”, indique le rapport. « APT41 peut rapidement adapter ses techniques d'accès initiales en compromettant à nouveau un environnement via un vecteur différent, ou en opérationnalisant rapidement une nouvelle vulnérabilité. Le groupe démontre également une volonté de réoutiller et de déployer des capacités via de nouveaux vecteurs d'attaque au lieu de les conserver pour une utilisation future. »

“L'activité récente d'APT41 contre les gouvernements des États américains consiste en de nouvelles capacités importantes”

Mandiant a l'habitude de découvrir de graves menaces de cybersécurité, y compris des attaques parrainées par l'État comme le piratage SolarWinds monté contre les principales agences gouvernementales américaines par des pirates soupçonnés être soutenu par le gouvernement russe. La société a également été récemment acquise par Google dans le cadre d'un accord annoncé parallèlement à la publication du rapport.

Selon les recherches de Mandiant, le groupe APT41 a pu pénétrer les réseaux gouvernementaux en exploitant les vulnérabilités des applications créées avec la plate-forme de développement .NET de Microsoft, y compris une vulnérabilité jusque-là inconnue dans le système de base de données de rapports sur la santé animale USAHERDS.

D'abord développé pour le ministère de l'Agriculture de Pennsylvanie, USAHERDS a été présenté comme un modèle pour améliorer la traçabilité des maladies chez le bétail et a ensuite été adopté par d'autres États. Mais un oubli de codage a conduit à ce que les clés de cryptage qui autorisaient certaines opérations au sein de l'application soient «codées en dur» – ce qui signifie qu'elles étaient les mêmes dans toutes les instances d'USAHERDS, et compromettre une seule installation permettrait à un pirate d'exécuter son propre code sur tout système exécutant le logiciel.

Rufus Brown, analyste principal des menaces chez Mandiant, a déclaré à The Verge que l'ampleur de la violation pourrait inclure plus de cibles que les six actuellement connues.

“Nous disons” au moins six États “car il y a probablement plus d'États touchés, sur la base de nos recherches, analyses et communications avec les forces de l'ordre”, a déclaré Brown. “Nous savons que 18 États utilisent USAHERDS, nous estimons donc qu'il s'agit probablement d'une campagne plus large que les six États pour lesquels nous avons une confirmation.”

Un e-mail envoyé à Acclaim Systems, les développeurs d'USAHERDS, n'avaient pas reçu de réponse au moment de la publication.

“Nous disons” au moins six États “car il y a probablement plus d'États touchés, sur la base de nos recherches, analyses et communications avec les forces de l'ordre”

Outre la compromission des applications basées sur .NET, APT41 a également a exploité la vulnérabilité Log4Shell, un bogue grave et répandu dans la bibliothèque Java Log4j qui a été divulgué publiquement en décembre 2021. Selon l'analyse de Mandiant, APT41 a commencé à monter des attaques qui exploitaient Log4j quelques heures seulement après la publication des détails de la vulnérabilité et l'utilisaient. vulnérabilité pour installer des portes dérobées dans les systèmes Linux qui leur donneraient un accès continu à une date ultérieure.

Tout cela indique la sophistication et la furtivité du groupe APT41, caractéristiques qui caractérisent son fonctionnement depuis sa découverte.

Dans le langage de la cybersécurité, les désignations « APT » sont attribuées aux menaces persistantes avancées – le niveau d'acteur de menace le plus sophistiqué et celui qui est généralement soit directement employé par un gouvernement national (par exemple, le célèbre groupe Sandworm, considéré comme une unité du GRU russe agence de renseignement militaire) ou un groupe de hackers d'élite opérant avec le soutien de l'État.

Les activités d'APT41 ont d'abord été détaillées dans un rapport de la société de cybersécurité FireEye, qui a surnommé le groupe de piratage “Double Dragon” pour sa double concentration sur l'espionnage et la cybercriminalité financière. Entre autres choses, le rapport FireEye décrit un historique d'attaques de la chaîne d'approvisionnement contre les développeurs de logiciels remontant à 2014 ; dans certains cas documentés, les pirates APT41 ont même pu injecter du code malveillant dans des fichiers de jeux vidéo vendus aux utilisateurs par des distributeurs de jeux légitimes.

“Ce truc ne va pas se terminer tant que les gens derrière ne seront pas arrêtés”

Les actions du groupe de piratage l'ont finalement porté à l'attention des autorités américaines, et le ministère de la Justice a porté des accusations contre cinq membres d'APT41 en 2019 et 2020, leur attribuant une place sur la liste des personnes les plus recherchées par le FBI. en conséquence.

Alors qu'APT41 est connu pour mener des activités criminelles financières ainsi que des opérations d'espionnage, les chercheurs de Mandiant pensent que dans ce cas, l'objectif est le dernier.

< p id="4nRRNB">“Ceci est assez cohérent avec une opération de renseignement, probablement de l'espionnage”, a déclaré Brown à The Verge. “Tout ce qu'ils recherchent ici est vraiment important, et il semble qu'ils continueront à le rechercher… En fin de compte, ce truc ne se terminera pas tant que les gens derrière ne seront pas arrêtés.”< /p>

Le FBI n'a pas répondu à une demande de commentaire.