Plusieurs APT chinoises établissent d’importantes têtes de pont au sein d’infrastructures sensibles
Dan Goodin - 1er août 2023 à 12h29 UTC
Les équipes de hackers travaillant pour le gouvernement chinois ont l’intention de pénétrer dans les confins les plus reculés des infrastructures sensibles, dont une grande partie appartient aux États-Unis, et d’y établir une présence permanente si possible. Au cours des deux dernières années, ils ont remporté des victoires qui pourraient sérieusement menacer la sécurité nationale.
Si cela n’était pas clair auparavant, trois rapports publiés la semaine dernière le prouvent abondamment. Dans un article publié par la société de sécurité Kaspersky, les chercheurs détaillent une suite d'outils d'espionnage avancés utilisés au cours des deux dernières années par un groupe pour établir un « canal permanent d'exfiltration de données » au sein des infrastructures industrielles. Un deuxième rapport publié dimanche par le New York Times indique qu'un autre groupe travaillant pour le gouvernement chinois avait caché des logiciels malveillants susceptibles de perturber profondément les infrastructures critiques utilisées par les bases militaires américaines dans le monde. Ces rapports sont intervenus neuf jours après que Microsoft a révélé une violation des comptes de messagerie appartenant à 25 de ses clients cloud, dont les départements d'État et du commerce.
Les opérations semblent provenir de départements distincts au sein du gouvernement chinois et cibler différentes parties des infrastructures américaines et européennes. Le premier groupe, suivi sous le nom de Zirconium, vise à voler les données des cibles qu'il infecte. Un autre groupe, connu sous le nom de Volt Typhoon, selon le New York Times, vise à acquérir la capacité à long terme de provoquer des perturbations à l'intérieur des bases américaines, éventuellement pour être utilisé en cas de conflit armé. Dans les deux cas, les groupes s’efforcent de créer des têtes de pont permanentes où ils peuvent s’installer subrepticement.
Un rapport publié par Kaspersky il y a deux semaines (partie 1) et lundi (partie 2) détaillait 15 implants qui confèrent à Zirconium toute une gamme de capacités avancées. Les capacités des implants vont de la première étape, un accès à distance persistant aux machines piratées, à une deuxième étape qui collecte les données de ces machines (et de tous les appareils isolés auxquels elles se connectent) jusqu'à une troisième étape utilisée pour télécharger des données volées vers des appareils contrôlés par Zirconium. serveurs de commande.
Zirconium est un groupe de hackers qui travaille pour la République populaire de Chine. L'unité cible traditionnellement un large éventail d'entités industrielles et d'information, y compris celles des organisations gouvernementales, financières, aérospatiales et de défense, ainsi que les entreprises des secteurs de la technologie, de la construction, de l'ingénierie, des télécommunications, des médias et des assurances. Le zirconium, également suivi sous les noms d'APt31 et de Judgment Panda, est un exemple d'APT (menace persistante avancée), une unité qui pirate pour, au nom ou dans le cadre d'un État-nation.
Le rapport de Kaspersky montre qu'à peu près au même moment que l'attaque à grande échelle du routeur, Zirconium était occupé par une autre entreprise majeure : celle qui impliquait l'utilisation de 15 implants pour dénicher des informations sensibles profondément ancrées dans les réseaux ciblés. Le malware est généralement installé dans ce que l’on appelle des détournements de DLL. Ces types d'attaques trouvent des moyens d'injecter du code malveillant dans les fichiers DLL qui font fonctionner divers processus Windows. Le malware a couvert ses traces en utilisant l'algorithme RC4 pour chiffrer les données juste avant leur injection.
Selon Kaspersky, un composant ver du logiciel malveillant peut infecter les disques amovibles qui, lorsqu'ils sont branchés sur un appareil à air isolé, localisent les données sensibles qui y sont stockées et les copient. Lorsqu'il est rebranché sur une machine connectée à Internet, le périphérique de disque infecté l'écrit là-bas.
« Tout au long de l'enquête, les chercheurs de Kaspersky ont observé les efforts délibérés des acteurs de la menace pour échapper à la détection et à l'analyse », a écrit Kaspersky. "Ils y sont parvenus en dissimulant la charge utile sous forme cryptée dans des fichiers de données binaires séparés et en intégrant du code malveillant dans la mémoire d'applications légitimes via un détournement de DLL et une chaîne d'injections de mémoire."