Posté le août 29, 2023 à 4:45

DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE

Une campagne de piratage informatique qui était tombée dans l’oubli au début de l’année a repris ses activités. Selon un nouvel avertissement émis par les chercheurs de Black Lotus Labs, l’objectif des hackers est de cibler les sites d’approvisionnement du ministère Américain de la défense et les organisations basées à Taïwan.

Similitudes avec les attaques de mars

La campagne de piratage est apparue au printemps 2023. À l’époque, les hackers tiraient parti de routeurs compromis situés dans des pays d’Amérique Latine et d’Europe. L’opération, baptisée HiatusRAT, s’appuyait à l’époque sur plus de 100 routeurs de périphérie, qu’ils semblaient utiliser pour espionner les victimes du piratage.

Le logiciel malveillant utilisé pour le piratage a été décrit comme extrêmement complexe et il n’avait jamais été vu auparavant. Il visait les routeurs de qualité professionnelle et, si la majorité des victimes étaient originaires d’Europe et d’Amérique Latine, de nombreux cas ont également été recensés en Amérique du Nord, au moins depuis juillet 2022.

À présent, les hackers sont de retour et ont repris du service, mais cette fois-ci, ils ciblent les sites d’approvisionnement du ministère Américain de la Défense et les organisations basées à Taïwan. Selon Black Lotus Labs, la branche de Lumen spécialisée dans la recherche en sécurité, les hackers lancent une nouvelle activité de reconnaissance destinée à collecter des données sur les soumissions de contrats de défense au Pentagone.

Il est recommandé aux entreprises qui font des affaires avec le ministère de la défense de surveiller de près leurs équipements de réseau pour détecter la présence potentielle de HiatusRAT, comme le suggèrent les chercheurs. Les criminels en ligne ont montré un intérêt particulier pour les petites entreprises et celles qui soutiennent Taïwan. L’une des raisons possibles est que la sécurité des petites entreprises est plus faible, ce qui facilite l’infiltration de leurs systèmes et la collecte de renseignements.

Les chercheurs ont également indiqué que cette activité correspondait aux intérêts de la Chine, en se référant à l’évaluation de la menace pour 2023 publiée par le Bureau du directeur du renseignement national (Office of the Director of National Intelligence).

Que sait-on de ces attaques ?

Selon les chercheurs, les attaques présentent des similitudes avec d’autres campagnes récentes. Volt Typhoon en est un exemple. Toutefois, les groupes ne se recoupent pas directement. On pense donc qu’ils impliquent des acteurs différents.

La campagne Volt Typhon, par exemple, a utilisé des routeurs, des VPN et des pare-feu de bureaux à domicile. Elle les a utilisés pour lancer des attaques visant des infrastructures critiques. Cette campagne a été dévoilée au début de l’année, en mai, et les chercheurs ont découvert qu’elle avait été créée pour perturber les communications entre la région Asie-Pacifique et les États-Unis.

La campagne HiatusRAT, révélée en mars de cette année, comprenait deux binaires malveillants. L’un était un cheval de Troie d’accès à distance, tandis que l’autre était une variante de tcpdump. Les rapports le décrivent comme un logiciel malveillant permettant la capture de paquets sur des appareils spécifiques que les hackers ont ciblés. Cette campagne a aussi exploité des appareils DrayTek Vigor en fin de vie.

Quant à la dernière campagne HiatusRAT, elle semble viser le serveur du DoD qui contient des informations sur les contrats actuels et futurs impliquant l’armée. Mark Dehus, directeur du renseignement sur les menaces chez Black Lotus Labs, a commenté la situation en ces termes : « Étant donné que le site web était associé à des propositions de contrats, nous soupçonnons que l’objectif était d’obtenir des informations accessibles au public sur les besoins militaires et de rechercher des organisations impliquées dans la base industrielle de la défense, potentiellement pour un ciblage ultérieur ».

En outre, il a été signalé que plus de 90 % des connexions entrantes provenaient de Taïwan et que les appareils utilisés étaient des appareils de pointe fabriqués par Ruckus.

Les attaques ne ralentissent pas

Black Lotus Labs a ensuite décrit le groupe d’activités comme étant « effronté » et l’un des plus audacieux, ce qui signifie que les hackers ne montrent aucun signe de ralentissement. Ils auraient commencé à la mi-juin et ont continué jusqu’à aujourd’hui. Les binaires HiatusRAT utilisés ont été spécifiquement conçus pour les architectures Intel 80386, x86-64 et Arm, ainsi que pour les architectures MIPS, MIPS64 et i386.

L’infrastructure de HiatusRAT se compose de serveurs de charge utile et de reconnaissance, qui communiquent directement avec les réseaux ciblés. Ils sont exploités par des serveurs de niveau 1, qui sont à leur tour commandés par des serveurs de niveau 2. Il a également été constaté que les attaquants utilisaient deux adresses IP différentes pour se connecter au serveur du ministère de la défense.