DeadRinger ciblait les serveurs Exchange depuis un moment

0

Des pirates informatiques liés à la Chine ont exploité les vulnérabilités Proxylogon des serveurs Microsoft Exchange bien avant qu’elles ne soient divulguées publiquement, dans des attaques contre des sociétés de télécommunications visant à voler des données clients sensibles et à maintenir la persistance sur le réseau, ont découvert des chercheurs.

Les chercheurs de Cybereason ont suivi plusieurs campagnes de cyber-espionnage – collectivement surnommées « DeadRinger » – depuis 2017, rapportant initialement des conclusions selon lesquelles un groupe de menaces chinois surnommé SoftCell ciblait des serveurs de facturation pour voler des enregistrements d’appels de télécommunications en Afrique, au Moyen-Orient, en Europe et en Asie en 2019.

Un rapport publié récemment s’appuie sur cette recherche, identifiant deux nouveaux groupes de menaces – Naikon APT et Group-3390 – qui semblent également travailler pour que le régime chinois compromette les serveurs de facturation afin de voler les enregistrements d’appels de télécommunications ainsi que de maintenir un accès persistant à leurs réseaux via d’autres composantes essentielles, selon le rapport.

Le rapport révèle également que SoftCell a ciblé un ensemble de vulnérabilités de Microsoft Exchange collectivement connues sous le nom de ProxyLogon « bien avant qu’elles ne soient connues du public », ont écrit les chercheurs. Ces vulnérabilités ont déclenché une frénésie d’attaques plus tôt cette année avant que les mesures d’atténuation et les correctifs de Microsoft ne commencent à prendre effet.

En effet, les pirates informatiques ont utilisé des tactiques similaires à celles exposées récemment dans les attaques zero-day de Hafnium – qui ont récemment été imputées à la Chine et condamnées par la Maison Blanche – qui ont exploité les vulnérabilités ProxyLogon dans les serveurs Microsoft Exchange pour accéder aux réseaux ciblés, selon le rapport.

Dans l’ensemble, les attaques montrent une attaque agressive de la Chine contre la sécurité des infrastructures critiques qui, à l’instar des attaques SolarWinds et Kaseya, compromettent les fournisseurs de services tiers pour finalement attaquer leurs clients tout en sapant ces relations de confiance et en causant d’autres dommages collatéraux, a déclaré Lior Div, PDG et co-fondateur de Cybereason.

« Ces opérations d’espionnage parrainées par l’État ont non seulement un impact négatif sur les clients et les partenaires commerciaux des télécommunications, mais elles ont également le potentiel de menacer la sécurité nationale des pays de la région et de ceux qui ont un intérêt direct dans la stabilité de la région », a-t-il déclaré dans un communiqué de presse.

Attaques liées mais distinctes

Plus précisément, les chercheurs ont identifié trois groupes d’attaques qui présentent un programme commun mais utilisent des tactiques différentes comme moyen de l’accomplir. Dans l’ensemble, les attaquants sont « hautement adaptatifs » et ont réussi à masquer leur activité pour maintenir la persistance sur les réseaux des victimes, certains ayant réussi à échapper à la détection depuis 2017, ont déclaré des chercheurs.

Surnommées Cluster A, les attaques SoftCell contre les télécommunications dans plusieurs régions – y compris l’Asie du Sud-Est – ont commencé en 2018 et se sont poursuivies jusqu’au premier trimestre de cette année. Ces attaquants exploitent les vulnérabilités de Microsoft Exchange pour installer ChinaChopper Webshell et prendre pied à l’aide de la porte dérobée PcShare. Les attaquants utilisent ensuite divers outils pour effectuer une reconnaissance, se déplacer latéralement sur le réseau et voler des informations d’identification et des données.

Naikon APT, un groupe de cyber-espionnage attribué au deuxième bureau de reconnaissance technique de la région militaire de Chengdu de l’Armée populaire de libération de la Chine, est à l’origine des attaques du groupe B, ont indiqué des chercheurs. Ces attaques visent des sociétés de télécommunications en Asie du Sud-Est depuis la fin de l’année dernière et se sont poursuivies jusqu’au premier trimestre 2021.

Les chercheurs ne savent toujours pas comment Naikon APT compromet initialement ses réseaux ciblés, mais ont observé le groupe utiliser la porte dérobée Nebulae et d’autres outils pour effectuer des activités similaires à SoftCell une fois que les attaquants ont pris pied.

Les attaques du cluster C sont en fait un « mini-cluster » qui a commencé en 2017, s’est poursuivi jusqu’au premier trimestre 2021 et est lié à l’activité SoftCell, ont déclaré les chercheurs. Cependant, ils pourraient également être l’œuvre du groupe chinois APT-3390, étant donné l’utilisation d’une « porte dérobée unique OWA (Outlook Web Access) » déployée sur plusieurs serveurs Microsoft Exchange et IIS dans les attaques.

« La porte dérobée a été utilisée pour collecter les informations d’identification des utilisateurs se connectant aux services Microsoft OWA, donnant aux attaquants la possibilité d’accéder à l’environnement de manière furtive », ont écrit les chercheurs.

L’analyse des chercheurs de la porte dérobée « montre des similitudes de code significatives avec une porte dérobée précédemment documentée utilisée dans l’opération baptisée Iron Tiger », qui a été attribuée au Groupe-3390, ont-ils ajouté.

Dans l’ensemble, les chevauchements dans les trois groupes « sont la preuve d’un lien probable entre les acteurs de la menace » indiquant que « chaque groupe a été chargé d’objectifs parallèles dans la surveillance des communications de cibles spécifiques de grande valeur » par le commandement central « aligné sur les intérêts de l’État chinois, », ont conclu les chercheurs.

Laisser un commentaire