Les États-Unis accusent officiellement la Chine des attaques de Microsoft Exchange

0

Les États-Unis et leurs alliés, dont l’Union européenne, le Royaume-Uni et l’OTAN, blâment officiellement la Chine pour la vaste campagne de piratage de Microsoft Exchange de cette année.

Ces cyberattaques du début de l’année 2021 ciblaient plus d’un quart de million de serveurs Microsoft Exchange, appartenant à des dizaines de milliers d’organisations dans le monde.

L’administration Biden attribue « avec un degré élevé de confiance que les cyberacteurs malveillants affiliés au MSS de la République Populaire de Chine ont mené des opérations de cyber-espionnage en utilisant les vulnérabilités zero-day de Microsoft Exchange Server divulguées début de Mars 2021 ».

« Dans certains cas, nous sommes conscients que les cyber-opérateurs affiliés au gouvernement de la RPC ont mené des opérations de ransomware contre des entreprises privées qui ont inclus des demandes de rançon de millions de dollars », a ajouté la Maison Blanche.

« L’attaque contre le logiciel Microsoft Exchange était très susceptible de permettre un espionnage à grande échelle, y compris l’acquisition d’informations personnellement identifiables et de propriété intellectuelle », a également déclaré le National Cyber ​​Security Center (NCSC) du Royaume-Uni.

« Le National Cyber ​​Security Center – qui fait partie du GCHQ – a estimé qu’il était très probable qu’un groupe connu sous le nom de HAFNIUM, qui est associé à l’État chinois, soit responsable de l’activité. »

Le Royaume-Uni a ajouté que le ministère chinois de la Sécurité d’État (MSS) est également à l’origine de groupes de piratage soutenus par l’État chinois, suivis sous les noms APT40 et APT31.

La NSA, la CISA et le FBI ont également publié un avis conjoint contenant plus de 50 tactiques, techniques et procédures (TTP) que les cyber-acteurs parrainés par l’État chinois ont utilisées dans des attaques visant les réseaux américains et alliés.

La CISA et le FBI ont également publié des indicateurs de compromission et des TTP pour aider les organisations à détecter et à corriger les intrusions APT40 et les points d’ancrage établis au sein de leurs réseaux.

Le département américain de la Justice a également annoncé des accusations criminelles contre quatre agents du renseignement du ministère de la Sécurité d’État concernant des activités faisant partie d’une campagne pluriannuelle ciblant les gouvernements du monde entier et les organisations de secteurs critiques.

« L’attaque contre les serveurs Microsoft Exchange est un autre exemple sérieux d’acte malveillant commis par des acteurs chinois soutenus par l’État Chinois dans le cyberespace », ont ajouté l’UE et ses États membres dans une déclaration distincte publiée en début de semaine.

« Ce genre de comportement est totalement inacceptable, et aux côtés de nos partenaires nous n’hésiterons pas à le dénoncer quand nous le verrons. »

états-unis chine
Des agents de l’APT40 recherchés par le département américain de la justice

Abusé pour déployer des ransomwares et des cryptomineurs

Début mars 2021, Microsoft a révélé que quatre failles zero-day étaient activement exploités dans des attaques ciblant les serveurs Microsoft Exchange sur site.

Les vulnérabilités (collectivement connues sous le nom de ProxyLogon) ont été exploitées lors d’attaques aveugles contre des organisations de plusieurs secteurs industriels dans le monde, dans le but final de voler des informations sensibles.

Des pirates informatiques derrière l’attaque ProxyLogon ont été observés lors du déploiement de shells Web, de logiciels malveillants de crypto-minage, ainsi que de charges utiles de ransomware DearCry et Black Kingdom sur des serveurs Exchange compromis.

Après que Microsoft ait divulgué les attaques, la société de sécurité Internet slovaque ESET a découvert au moins dix groupes APT ciblant les serveurs Exchange vulnérables.

Microsoft a déclaré à l’époque que le groupe de piratage parrainé par l’État chinois connu sous le nom de Hafnium était à l’origine de ces attaques.

« Historiquement, Hafnium cible principalement des entités aux États-Unis dans le but d’exfiltrer des informations d’un certain nombre de secteurs industriels, notamment des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs de la défense, des groupes de réflexion politiques et des ONG », a déclaré Microsoft.

« Bien que Hafnium soit basé en Chine, il mène ses opérations principalement à partir de serveurs privés virtuels (VPS) loués aux États-Unis. »

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire