Posté le décembre 7, 2021 à 9:12
MICROSOFT A SAISI 42 SITES WEB DE PIRATAGE SOUTENUS PAR L’ÉTAT CHINOIS
Microsoft a annoncé la saisie de 42 domaines soupçonnés d’être utilisés par un groupe de hackers basé en Chine pour faire du cyberespionnage sur des organisations américaines.
Le géant de la technologie a déclaré avoir obtenu un mandat légal du tribunal fédéral de l’État américain de Virginie pour procéder à leur saisie.
Microsoft a noté que le groupe de hackers qu’il appelle Nickel est connu par le réseau plus large de cybersécurité sous différents surnoms tels qu’APT15, Vixen Panda, Playful Dragon, Bronze Palace, Mirage et Ke3Change. Selon le rapport, ce groupe de menaces persistantes avancées (APT) est actif depuis 2012.
Microsoft affirme que le groupe de hackers abusent de ses marques commerciales et de ses marques de fabrique
Selon Microsoft, puisque l’incident implique le piratage d’ordinateurs et la modification des systèmes d’exploitation de Microsoft, il s’agit d’un « abus des marques de commerce et des marques de Microsoft ». La société poursuit en disant que l’action présente une version non autorisée et modifiée de Windows aux utilisateurs, les trompant au passage. En conséquence, elle a pris des mesures judiciaires pour saisir tous les sites Web qui ont été utilisés pour établir des liens avec le logiciel malveillant.
En réponse, le tribunal a accepté de remettre les sites Web enregistrés en Virginie à Microsoft et de délivrer une ordonnance d’interdiction temporaire contre les hackers.
Le vice-président de Customer Security and Trust, Tom Burt, a déclaré que Nickel a lancé des attaques contre plusieurs organisations des secteurs public et privé aux États-Unis et dans 28 autres pays. Leur cible comprend également des ministères et des affaires étrangères en Europe, en Amérique du Sud, en Amérique du Nord, en Afrique, en Amérique centrale et dans les Caraïbes.
« Il y a souvent une corrélation entre les cibles de Nickel et les intérêts géopolitiques de la Chine », a-t-il ajouté.
L’incident survient alors que les chercheurs en sécurité découvrent une longue liste de campagnes de logiciels de surveillance menées par des groupes de hackers parrainés par l’État au cours des dernières années.
En 2020, la société de sécurité mobile Lookout a divulgué quatre applications trojanisées qui ciblaient la minorité ethnique ouïghoure. Les chercheurs en sécurité ont noté que ces applications – GoldenEagle, CarbonSteal, DoubleAgent et SilkBean – visaient également la communauté tibétaine pour recueillir et transmettre des données personnelles d’utilisateurs.
De nouvelles cybermenaces liées à des hackers basés en Chine
Microsoft a déclaré que les hackers basés en Chine continueront à cibler les clients des secteurs des ONG, de la diplomatie et du gouvernement afin d’acquérir de nouvelles connaissances, la Chine continuant à étendre ses relations avec d’autres pays dans le monde.
Le groupe de hackers utilisait probablement les sites Web saisis pour implanter des logiciels malveillants qui lui permettent de voler des données auprès d’agences gouvernementales et d’autres organisations. Selon le géant technologique, les hackers utilisent des attaques très sophistiquées qui installent des logiciels malveillants discrets permettant la surveillance et le vol de données.
Microsoft a fourni des détails sur les activités des attaquants et sur la manière dont ils ont réussi à cibler les organisations. Selon la firme, ils utilisent des techniques qui compromettent les réseaux privés virtuels des tiers. Ils utilisent également des techniques de phishing, les hackers se faisant parfois passer pour une entité fiable afin de tromper la cible et de l’amener à fournir ses données de connexion et son mot de passe.
Dans les documents judiciaires rendus publics lundi, Microsoft a expliqué en détail comment les hackers ont ciblé les utilisateurs par des techniques telles que la compromission de réseaux privés virtuels tiers et le phishing, dans lequel un hacker se fait passer pour une entité de confiance, souvent dans le but d’amener une personne à fournir des informations telles qu’un mot de passe.
Cela a permis aux hackers d’avoir un accès à long terme aux systèmes infiltrés pendant qu’ils exécutaient des attaques pour recueillir des renseignements sur différentes agences gouvernementales, organisations de défense des droits de l’homme et institutions de recherche.
Les hackers déploient plusieurs techniques pour s’implanter
Microsoft a également déclaré que les hackers utilisent plusieurs autres techniques, notamment l’exploitation de bugs dans des dispositifs VPN non corrigés et la violation de services d’accès à distance pour installer des logiciels malveillants difficiles à détecter. Une fois le logiciel malveillant installé dans le système concerné, il facilite la surveillance, l’intrusion et le vol de données.
Microsoft a expliqué qu’une fois que Nickel a réussi à s’implanter, il déploie des outils de vidage d’informations d’identification et des voleurs tels que WDigest et Mimikatz pour pirater les comptes des victimes.
Après la pénétration initiale, les hackers diffusent des logiciels malveillants personnalisés qui leur permettent de persister sur les réseaux des victimes pendant une longue période.
Les hackers procèdent également à des exfiltrations de fichiers à intervalles réguliers, collectent les e-mails des comptes Microsoft 365 et exécutent des shellcodes arbitraires.
Les multiples familles de backdoors que les hackers utilisent pour la commande et le contrôle sont connues sous les noms de Rokum, Nulltch, Numbldea, Leeson et Neoichor.
La société ajoute qu’après avoir utilisé les stratégies pour installer des logiciels malveillants sur le système de la cible, les hackers connectent le système aux sites Web malveillants qui ont été saisis.
