[ad_1]
Les pirates de l’État chinois compromettent un grand nombre de routeurs domestiques et de bureau pour les utiliser dans une attaque vaste et continue contre des organisations en France, ont déclaré les autorités de ce pays.
Le groupe de piratage, connu dans les milieux de la sécurité sous le nom d’APT31, Zirconium, Panda et d’autres noms, a toujours mené des campagnes d’espionnage ciblant les organisations gouvernementales, financières, aérospatiales et de défense ainsi que les entreprises des secteurs de la technologie, de la construction, de l’ingénierie, des télécommunications, des médias et les industries de l’assurance, a déclaré la société de sécurité FireEye. APT31 est également l’un des trois groupes de pirates parrainés par le gouvernement chinois qui ont participé à une récente vague de piratage des serveurs Microsoft Exchange, a annoncé lundi le National Cyber Security Center du Royaume-Uni.
Reconnaissance furtive et intrusion
Mercredi, l’Agence nationale française de la sécurité des systèmes d’information, en abrégé ANSSI, a averti les entreprises et les organisations nationales que le groupe était à l’origine d’une campagne d’attaque massive qui utilisait des routeurs piratés avant d’effectuer des reconnaissances et des attaques comme moyen de dissimuler les intrusions.
« L’ANSSI gère actuellement une vaste campagne d’intrusions impactant de nombreuses entités françaises », prévient un avis de l’ANSSI. « Les attaques sont toujours en cours et sont menées par un ensemble d’intrusions publiquement appelé APT31. Il ressort de nos enquêtes que l’acteur de la menace utilise un réseau de routeurs domestiques compromis comme boîtiers de relais opérationnels afin d’effectuer une reconnaissance furtive ainsi que des attaques.
L’avis contient des indicateurs de compromission que les organisations peuvent utiliser pour déterminer si elles ont été piratées ou ciblées dans la campagne. Les indicateurs incluent 161 adresses IP, bien qu’il ne soit pas tout à fait clair si elles appartiennent à des routeurs compromis ou à d’autres types d’appareils connectés à Internet utilisés dans les attaques.
UNE graphique La cartographie des pays hébergeant les IP, créée par le chercheur Will Thomas de la société de sécurité Cyjax, montre que la plus grande concentration se trouve en Russie, suivie de l’Égypte, du Maroc, de la Thaïlande et des Émirats arabes unis.
Aucune des adresses n’est hébergée en France ou dans l’un des pays d’Europe occidentale, ou des pays faisant partie de l’alliance Five Eyes.
« APT31 utilise généralement des routeurs pwned dans les pays ciblés comme dernier saut pour éviter certains soupçons, mais dans cette campagne, à moins que [French security agency] Le CERT-FR les a omis, ils ne le font pas ici », a déclaré Thomas dans un message direct. « L’autre difficulté ici est que certains des routeurs seront probablement compromis par d’autres attaquants dans le passé ou en même temps. »
Routeurs dans la ligne de mire
Sur Twitter, l’analyste des menaces de Microsoft Ben Koehl a fourni contexte supplémentaire pour Zirconium—le nom du fabricant de logiciels pour APT31.
Il a écrit:
ZIRCONIUM semble exploiter de nombreux réseaux de routeurs pour faciliter ces actions. Ils sont superposés et utilisés de manière stratégique. Si vous recherchez ces adresses IP, elles doivent être utilisées principalement comme adresses IP source, mais elles pointent parfois le trafic d’implant vers le réseau.
Historiquement, ils ont fait l’approche classique I have a dnsname -> ip pour les communications C2. Ils ont depuis déplacé ce trafic vers le réseau du routeur. Cela leur permet de manipuler la destination du trafic à plusieurs niveaux tout en ralentissant les efforts des éléments de poursuite.
De l’autre côté, ils sont capables de sortir dans les pays de leurs cibles pour _un peu_ échapper aux techniques de détection de base.
ZIRCONIUM semble exploiter de nombreux réseaux de routeurs pour faciliter ces actions. Ils sont superposés et utilisés de manière stratégique. Si vous recherchez ces adresses IP, elles doivent être utilisées principalement comme adresses IP source, mais à l’occasion, elles pointent le trafic d’implant vers le réseau.
– bk (Ben Koehl) (@bkMSFT) 21 juillet 2021
Les pirates informatiques utilisent des routeurs domestiques et de petites entreprises compromis depuis des années pour les utiliser dans des botnets qui mènent des attaques par déni de service paralysantes, redirigent les utilisateurs vers des sites malveillants et agissent comme des mandataires pour effectuer des attaques par force brute, exploiter les vulnérabilités, analyser les ports et exfiltrer données provenant de cibles piratées. En 2018, des chercheurs de l’équipe de sécurité Talos de Cisco ont découvert VPNFilter, un logiciel malveillant lié aux pirates informatiques de l’État russe qui a infecté plus de 500 000 routeurs pour une utilisation à des fins malveillantes. La même année, des chercheurs d’Akamai ont détaillé les exploits de routeurs qui utilisaient une technique appelée UPnProxy.
Les personnes qui craignent que leurs appareils ne soient compromis doivent redémarrer périodiquement leurs appareils, car la plupart des logiciels malveillants de routeur ne peuvent pas survivre à un redémarrage. Les utilisateurs doivent également s’assurer que l’administration à distance est désactivée (à moins qu’elle ne soit vraiment nécessaire et verrouillée) et que les serveurs DNS et autres configurations n’ont pas été modifiés de manière malveillante. Comme toujours, l’installation rapide des mises à jour du micrologiciel est une bonne idée.
[ad_2]