Posté le avril 6, 2020 à 18:22
DES AGENCES GOUVERNEMENTALES CHINOISES ATTAQUÉES PAR DARKHOTEL AU MOYEN DES VULNÉRABILITÉS ZERO-DAY DE VPN
Une énorme opération de piratage a été mise au jour alors que des agences gouvernementales chinoises et leurs employés ont été attaqués par des hackers étrangers parrainés par l’État, connus sous le nom de DarkHotel.
Selon Qihoo, la société de sécurité chinoise qui a découvert les infiltrations, les hackers ont commencé leur opération le mois dernier, et elle pourrait être liée à l’actuelle pandémie COVID-19.
Les hackers ont utilisé le serveur VPN Sangfor présentant une vulnérabilité de type « zero-day » pour accéder à distance aux réseaux du gouvernement et des entreprises.
Environ 200 serveurs VPN infectés
Qihoo a indiqué qu’il a découvert que les hackers ont infiltré environ 200 serveurs VPN dans le cadre de la campagne. Sur ce nombre, 174 sont des serveurs d’agences gouvernementales à Shanghai et Pékin, ainsi que les serveurs de missions diplomatiques chinoises basées à l’étranger.
Les serveurs des missions diplomatiques chinoises à l’étranger infectés proviennent d’Israël, d’Arménie, des EAU, de Thaïlande, d’Indonésie, du Pakistan, d’Éthiopie, d’Iran, de Turquie, du Royaume-Uni et d’Italie. Les autres pays sont l’Inde, l’Arabie Saoudite, l’Afghanistan, le Tadjikistan et le Vietnam.
Nature du modèle d’attaque
Qihoo a publié un rapport aujourd’hui, affirmant que le modèle d’attaque était très intelligent et sophistiqué, laissant penser qu’il aurait pu être mené par des acteurs parrainés par le gouvernement.
Les hackers ont utilisé la vulnérabilité zero-day pour accéder aux serveurs VPN Sangfor, où le nom de fichier SangforUD.exe a été remplacé par la version piégée.
Le fichier fournit des mises à jour pour l’application de bureau de Sangfor VPN, qui sont installées par les employés lorsqu’ils se connectent aux serveurs Sangfor et ensuite à leurs postes de travail.
Selon les chercheurs, lorsque les employés se connectent aux serveurs VPN Sangfor infiltrés, ils reçoivent des mises à jour automatiques du client bureau. Cependant, en réalité, ils reçoivent le fichier Sangfor.exe piraté, qui installe ensuite un cheval de Troie de porte dérobée sur leurs systèmes.
Qihoo a noté que pendant son observation, l’équipe de recherche a pu établir un lien entre le groupe de hackers et le groupe DarkHotel. D’après ce que l’on sait du groupe, il opère autour de la péninsule coréenne, mais on ne sait pas s’il opère depuis la Corée du Sud ou du Nord.
DarkHotel opère depuis 2007 et est connu comme l’un des syndicats de piratage les plus sophistiqués soutenus par le gouvernement.
Google a publié un rapport sur ce groupe le mois dernier. Dans ce rapport, Google indique que le groupe de hackers a utilisé une quantité énorme de vulnérabilités zero-day l’année dernière, ce qui est plus élevé que les autres opérations financées par le gouvernement. Il semble que le groupe ait continué là où il s’était arrêté l’année dernière.
« Nous sommes seulement à quelques mois de l’année, mais il y a déjà 3 attaques de type « zero-day » de DarkHotel, Sangfor VPN zero-day étant la troisième », a déclaré Qihoo.
Le groupe a également utilisé les vulnérabilités zero-day pour les navigateurs Internet Explorer et Firefox pour attaquer des institutions gouvernementales au Japon et en Chine.
Qihoo a souligné que l’attaque contre les agences gouvernementales chinoises pourrait être liée à la récente pandémie COVID-19. Selon la société de sécurité, DarkHotel pourrait être à la recherche d’informations concernant les plans stratégiques mis en œuvre par le gouvernement chinois pour faire face à l’épidémie.
L’attaque de DarkHotel contre les agences gouvernementales chinoises s’inscrit dans le cadre de la récente opération du groupe contre l’Organisation mondiale de la santé (OMS). Il y a deux semaines, le groupe a frappé l’OMS, l’organisation internationale qui coordonne la responsabilité mondiale de la pandémie.
Des correctifs pour la vulnérabilité sont disponibles
Qihoo a réitéré qu’après avoir découvert l’attaque, il a contacté Sangfor le 3 avril avec les détails de l’attaque. Bien que Sangfor ait refusé de donner son avis sur les attaques, elle a publié un rapport, indiquant que les seuls serveurs vulnérables sont les serveurs de Sangfor qui utilisent les versions de microprogrammes M6.1 et M6.3R1. La déclaration a révélé que les autres serveurs sont propres et ne sont pas affectés par le « zero-day » utilisé par DarkHotel.
Sangfor a révélé qu’il aura tous les correctifs pour la vulnérabilité prêts pour demain. Aujourd’hui, les correctifs pour le serveur VPN SSL seront prêts, tandis que d’autres versions plus anciennes seront disponibles demain.
En outre, la société envisage de publier un script qui supprimera les fichiers installés par DarkHotel. Elle prévoit également de publier un autre script pour savoir si d’autres serveurs VPN ont été infiltrés par des hackers.