Posté le février 23, 2022 à 9:54
DES HACKERS CHINOIS LANCENT UNE ATTAQUE SUR LA CHAÎNE D’APPROVISIONNEMENT VISANT LE SECTEUR FINANCIER DE TAIWAN
Des hackers chinois ont pris pour cible le secteur de la chaîne d’approvisionnement de Taïwan. Le groupe de menaces persistantes avancées (APT) soupçonné d’être à l’origine de cette attaque a des objectifs qui reflètent ceux du gouvernement chinois.
Le secteur de la chaîne d’approvisionnement de Taïwan est attaqué
Les attaques ont été détectées pour la première fois vers la fin du mois de novembre 2021. Le groupe de menaces à l’origine de la violation est connu sous le nom d’APT10, mais il porte également d’autres noms tels que Bronze Riverside, MenuPass Group et Stone Panda. Le groupe a toujours été actif, et sa première opération a été détectée en 2009.
Les activités de piratage du groupe ont connu un pic entre le 10 et le 13 février 2022. C’est à ce moment-là que des rapports ont suggéré que le groupe s’était orienté vers des attaques à objectifs financiers visant la chaîne d’approvisionnement.
Un rapport récent de CyCraft, une entreprise de cybersécurité basée à Taïwan, indique que la récente attaque contre Taïwan avait pour cible le secteur plus large de la chaîne d’approvisionnement. Les attaquants visaient spécifiquement l’infrastructure logicielle des institutions financières. Ces attaques ont conduit à des « cas anormaux de passation de commandes ».
Le rapport indique que les acteurs de la menace ont mené cette attaque en utilisant une activité baptisée « Opération Cache Panda. » Par cette opération, ils ont ciblé un bug dans l’interface de gestion web. Les vulnérabilités étaient présentes dans plusieurs logiciels de sécurité ayant une part de marché de plus de 80 %.
Après avoir ciblé cette vulnérabilité, les attaquants ont ensuite déployé un shell web dont le fonctionnement est similaire à celui de l’installation du RAT Quasar dans le système affecté. L’objectif des acteurs de la menace, dans ce cas, était de voler des informations sensibles dans le système de la chaîne d’approvisionnement de Taïwan. L’objectif de ce groupe était d’accéder à des informations sensibles.
Les acteurs de la menace ont également mené une attaque furtive, le rapport précisant que « outre l’utilisation du projet open-source Donut, qui peut compiler du Shellcode pour différentes plates-formes et exécuter l’assemblage DotNet en mémoire, cet incident a également révélé que l’utilisation de certains codes SharpSpoilt injectant le logiciel malveillant DotNet peut obtenir l’effet de dissimulation de l’atterrissage de modules non malveillants. Afin de réduire la probabilité d’être détecté par les logiciels anti-virus. »
La stratégie du RAT Quasar utilisée par ce groupe de hackers est populaire parmi les autres attaquants. Il s’agit d’un cheval de Troie d’accès à distance (RAT) open-source disponible publiquement et facilement accessible. Le RAT est écrit en .NET. Ses fonctionnalités comprennent la capture de captures d’écran, l’accès à la webcam, la modification du registre, les enregistrements de frappe clavier et le vol de mots de passe système. Les attaquants ont également utilisé un service chinois de partage de fichiers en nuage, baptisé wenshushu.cn, pour télécharger des outils auxiliaires.
« Il convient de mentionner que dans cette attaque, les hackers ont utilisé beaucoup de logiciels libres ou commerciaux et ont réduit l’utilisation de programmes malveillants développés par les hackers afin de réduire le risque d’être associés », ajoute le rapport.
La menace est attribuée à des acteurs chinois
Le récent rapport sur cette attaque intervient alors que le parlement taïwanais a fait des efforts pour lutter contre les attaques d’espionnage du gouvernement chinois. Le parlement a dévoilé des projets d’amendements aux lois sur la sécurité nationale. Ces lois visent à lutter contre les tentatives d’espionnage économique et industriel de la Chine.
Suite à cet amendement, l’utilisation de technologies nationales cruciales et de secrets commerciaux en dehors de Taïwan est passible de lourdes sanctions et d’une peine de prison pouvant aller jusqu’à 12 ans. Cette loi sur la sécurité vise à préserver les informations critiques sur les infrastructures de Taïwan, ce qui est un facteur important pour un pays qui souhaite préserver ses informations critiques.
Le gouvernement a également limité les déplacements en Chine des personnes auxquelles sont confiées des informations gouvernementales critiques afin de réduire les risques d’espionnage et de partage d’informations. Les personnes et les organisations qui se sont vu accorder un accès ou des subventions par le gouvernement taïwanais pour mener des opérations liées aux technologies nationales critiques doivent demander l’autorisation du gouvernement avant d’effectuer tout voyage en Chine. Ceux qui n’obtiennent pas cette autorisation s’exposent à une amende pouvant aller jusqu’à 359 000 dollars.
Bien que ces mesures contribuent à réduire le risque de partage d’informations critiques avec la Chine, Taiwan reste exposé aux attaques de cybersécurité et d’espionnage. Dans la plupart des attaques d’espionnage, les acteurs de la menace utilisent des logiciels commerciaux et dissimulent leurs attaques pour éviter toute détection. Cela représente un risque majeur pour le gouvernement si les attaques d’espionnage sont détectées beaucoup plus tard.
« La cause profonde de cette attaque est très probablement une faille dans le système de réaffectation. Étant donné que le système de réaffectation est lié aux flux de trésorerie et qu’il sert des logiciels importants, il convient d’accorder une plus grande attention à la sécurité de sa chaîne d’approvisionnement. Les entreprises doivent prêter une attention particulière à la question de savoir si le système adopté a été vérifié par le mécanisme de détection des vulnérabilités, quelles vulnérabilités se sont produites dans le passé et s’il existe une équipe professionnelle de PSIRT », conclut le rapport.