Posté le mars 17, 2021 à 12:51
LES ENTREPRISES DE TÉLÉCOMMUNICATIONS FONT DÉSORMAIS L’OBJET D’ATTAQUES MALVEILLANTES POUR OBTENIR DES SECRETS SUR LA 5G
Un rapport récent révèle que des acteurs malveillants ciblent des personnes travaillant dans le secteur des télécommunications en utilisant un faux site web de la société Huawei.
Le rapport a été révélé par le fournisseur de logiciels de sécurité McAfee. L’entreprise a ajouté que les hackers étendent progressivement leurs cibles. La cyberattaque est appelée « Opération Diànxùn » par l’unité de renseignement sur les menaces de McAfee. Selon l’équipe, les acteurs malveillants se concentrent principalement sur les entreprises basées en Inde, au Vietnam, en Allemagne, aux États-Unis, ainsi que sur les entreprises basées en Asie du Sud-Est.
L’équipe de cybersécurité a révélé que la nouvelle campagne de piratage pourrait avoir été stimulée par l’interdiction des équipements chinois dans le déploiement mondial de la 5G. La campagne de phishing se concentre sur l’exploitation de systèmes contenant des détails sensibles sur la technologie 5G.
Le groupe responsable de cette campagne est RedDelta ou Mustang Panda. Ce groupe est connu pour plusieurs campagnes d’espionnage visant des organisations dans le monde entier. Cependant, il semble qu’il ait changé de cible pour s’attaquer aux entreprises de télécommunications.
23 entreprises étaient ciblées
Le rapport révèle que la tentative de piratage pourrait avoir visé pas moins de 23 entreprises de télécommunications. Cependant, on ne sait pas exactement combien d’entre elles ont été touchées par l’incident de piratage. Il est surprenant de constater que la campagne est active depuis août dernier, mais qu’elle n’a été découverte que récemment.
De plus, on ne sait pas encore comment les hackers ont initialement infecté les systèmes concernés. Mais les victimes sont redirigées vers un domaine de phishing malveillant contrôlé et géré par les hackers. Ce domaine est utilisé par les acteurs malveillants pour envoyer les fichiers malveillants aux victimes.
Le faux site de recrutement de Huawei est très similaire au site Web authentique, ce qui peut facilement tromper toute personne qui ne se doute de rien. Mais les chercheurs ont confirmé que Huawei n’est pas impliqué dans cette campagne et n’est pas au courant qu’un site simule son identité.
Les chercheurs John Fokker, Thibault Secret et Thomas Roccia ont détaillé leurs conclusions sur la nouvelle campagne de logiciels malveillants, et ont déclaré que ces derniers se présentaient comme des applications Flash.
Les chercheurs ont découvert deux noms de domaine prétendument utilisés pour la tentative de piratage, tous deux portant le nom de l’entreprise de télécommunications chinoise : hxxp://update.huaweiyuncdn.com et career.huawei.com.
L’échantillon simulant l’application Flash utilisait également un nom de domaine malveillant « hxxp://flach.cn », également conçu pour ressembler à la page Web officielle de téléchargement de l’application Flash, flash.cn.
Le groupe a utilisé la porte dérobée Cobalt Strike
Les chercheurs de McAfee ont également déclaré que le groupe de campagne a utilisé la porte dérobée Cobalt Strike, qui a permis de cibler plus de 600 serveurs Exchange, dont certains étaient basés au Royaume-Uni, selon ESET.
Les utilisateurs qui visitent le faux site téléchargent à leur insu l’application flash malveillante utilisée pour transmettre la porte dérobée Cobalt Strike au système qui les visite. Cela permet aux acteurs malveillants d’avoir une visibilité sur le système et d’obtenir et de voler des informations sensibles.
L’attaque semble être conçue pour cibler uniquement les personnes disposant d’informations importantes sur la technologie 5G.
L’opération Diànxùn a déjà été liée à d’autres cas de piratage par des groupes chinois. Le logiciel malveillant déployé et la nature de l’attaque sont similaires, en termes de tactiques et de méthodes, à ceux utilisés par l’opération Diànxùn dans le passé.
Il y a également de fortes chances que l’attaque soit toujours en cours.
« Nous pensons que la campagne est toujours en cours. Nous avons repéré une nouvelle activité la semaine dernière avec les mêmes TTP », a déclaré l’équipe de cybersécurité de McAfee.
Protection contre les attaques
L’équipe de sécurité a également indiqué comment les utilisateurs peuvent se protéger contre les attaques malveillantes de ce type. Une façon d’assurer la protection contre de telles attaques est de former correctement le personnel à reconnaître quand il est redirigé vers une page malveillante. Les chercheurs ont également ajouté qu’il peut être encore très difficile de reconnaître ces redirections malveillantes, car les acteurs malveillants ont beaucoup évolué dans la sophistication de leurs attaques.
Ils ont appris à imiter un site web pour qu’il soit presque impossible de différencier le faux de l’original.
Les chercheurs en sécurité ont souligné qu’une stratégie globale d’application des mises à jour de sécurité en temps opportun protégera les réseaux contre les cyberattaques.
