Posté le avril 21, 2021 à 19:26
DES DIZAINES D’AGENCES DE DÉFENSE AMÉRICAINES COMPROMISES PAR DES HACKERS DE L’ÉTAT CHINOIS
Un rapport récent révèle que des hackers chinois auraient infiltré la technologie VPN d’une entreprise pour pénétrer dans les réseaux informatiques du secteur de la défense américaine.
Les chercheurs ont établi un lien entre l’incident de piratage et deux acteurs malveillants, l’un d’eux semblant provenir d’une opération officielle de cyberespionnage parrainée par la Chine.
Les cibles comprennent également des entreprises financières aux États-Unis et en Europe
Les acteurs malveillants ont utilisé le logiciel malveillant pour voler des identités d’utilisation et d’administration et se connecter aux systèmes des entreprises américaines de l’industrie de la défense entre octobre 2020 et mars 2021, selon le consultant en sécurité Mandiant.
La société de sécurité a également déclaré que des sociétés financières et des gouvernements en Europe et aux États-Unis étaient également des cibles de la campagne de piratage.
La société de sécurité FireEye a également commenté la campagne de piratage, ajoutant qu’elle a compromis des dizaines d’institutions financières, d’entreprises de défense, d’agences gouvernementales et de secteurs critiques américains.
L’équipe de sécurité a également déclaré que la campagne est toujours en cours, et qu’elle représente la dernière d’une série de compromissions inquiétantes d’entreprises privées et d’agences gouvernementales.
Les acteurs malveillants étaient très sophistiqués
L’enquête sur l’incident de piratage n’a commencé que récemment, et seules quelques découvertes ont été faites. Cependant, il a déjà été révélé que les acteurs malveillants ont infiltré des entreprises de défense sensibles, selon FireEye.
Cette situation est différente de l’attaque russe contre SolarWinds qui a compromis 9 agences fédérales, mais pas les agences de défense américaines ou leurs sous-traitants.
Même l’opération chinoise qui visait les serveurs de messagerie Microsoft Exchange n’a affecté aucune agence du gouvernement américain, contrairement à la récente campagne de logiciels malveillants.
Un représentant américain, qui souhaite rester anonyme, a déclaré que l’enquête n’a jusqu’à présent révélé aucune preuve que le ministère de la défense ait été affecté par l’attaque.
Pour qu’un groupe de hackers puisse réussir une attaque d’une telle ampleur et infiltrer des agences de sécurité hautement sensibles, le groupe doit être sophistiqué. Et ce fut le cas pour ce groupe. L’enquête préliminaire a révélé que les hackers ont utilisé des outils « très avancés » pour implanter des logiciels malveillants et pour échapper à la détection, selon le directeur technique de Mandiant, Charles Carmakal.
Les groupes de hackers APT5 ont été impliqués dans l’attaque
La campagne de piratage s’est concentrée sur des cibles de grande valeur détenant des informations critiques pour le gouvernement chinois.
« Cela ressemble à de l’espionnage classique basé en Chine », a déclaré Carmakal, ajoutant que la campagne impliquait le vol de données de projets et de propriété intellectuelle.
Le groupe chinois APT5 lié à l’attaque a été associé à d’autres attaques similaires dans le passé, impliquant des entreprises de télécommunications, des entreprises de défense et d’autres secteurs critiques de l’économie. Le deuxième groupe détecté dans l’opération n’a pas été complètement identifié. Mais FireEye affirme que l’équipe de sécurité en saura davantage à mesure que l’enquête sur la campagne se poursuit.
Le CISA (Cybersecurity and Infrastructure Security Agency) a confirmé la campagne de piratage en publiant une alerte mardi. L’agence a déclaré qu’elle était au courant des menaces actuelles et de l’exploitation de failles logicielles au sein de plusieurs organisations privées, entités d’infrastructures critiques et agences gouvernementales américaines.
Des vulnérabilités étaient visibles dans les serveurs VPN Pulse Secure
FireEye et la CISA expliquent que les vulnérabilités ont été découvertes dans les serveurs VPN Pulse Secure qui permettent aux travailleurs d’accéder à distance aux réseaux de leurs employeurs. En conséquence, l’agence demande instamment à toute organisation utilisant encore Pulse Secure de procéder à une mise à niveau immédiate vers la dernière version du logiciel. Elles doivent également utiliser un outil fourni par la société pour vérifier si leurs systèmes ont déjà été compromis.
La CISA a également conseillé à toutes les agences civiles de procéder à la même mise à niveau afin de protéger leurs systèmes contre toute attaque invisible.
Pulse Secure, qui a été rachetée par Ivanti, a également réagi à l’incident. L’entreprise a déclaré que la campagne de piratage n’avait touché qu’un « nombre limité » de clients. Elle a ajouté que l’équipe de sécurité de l’entreprise a agi rapidement pour fournir des mesures d’atténuation immédiates aux clients concernés.
La CISA surveille toujours la situation
Mercredi, un porte-parole de la Maison Blanche a déclaré que la CISA gère la situation et suit de près l’incident. Toutefois, à l’heure où nous écrivons ces lignes, le FBI n’a fait aucun commentaire sur l’incident.
FireEye dit avoir vu certaines preuves qui suggèrent que l’incident de piratage a commencé en juin de l’année dernière, mais toute la campagne pourrait avoir commencé avant cela. « Nous sommes juste limités aux données médico-légales dont nous disposons », a déclaré l’agence de sécurité.
