Sophos, entreprise britannique offrant des produits (EDR, XDR et pare-feu notamment) et services de cybersécurité, a publié le 31 octobre un rapport sur la campagne “Pacific Rim”. Elle décrit comment des pirates informatiques liés à l’État chinois ont exploité des périphériques réseau pour mener des actions de surveillance et de cyberespionnage, et la manière dont elle a réagi en améliorant ses dispositifs de pistage.
Des cybercriminels déployant des packages de logiciels malveillants
Dans le cadre de cette campagne, Sophos a observé une intrusion chinoise dès 2018, au siège de Cyberoam, une filiale indienne de la société. Les hackers avaient alors déployé un cheval de Troie d’accès à distance (RAT) sur un ordinateur à faibles privilèges administrateur installé dans les bureaux de la société. Alors que l’enquête initiale tendait à conclure à un malware peu sophistiqué, les chercheurs ont découvert que l’intrusion comprenait un rootkit – ensemble de logiciels malveillants d’accès à distance – complexe et inconnu jusqu’à présent.
Les cybercriminels ont à ce titre développé une nouvelle technique leur permettant de basculer vers une infrastructure cloud en exploitant un service AWS mal configuré. “Nous estimons désormais avec une grande confiance qu’il s’agissait d’un effort initial chinois visant à recueillir des renseignements qui aideraient au développement de logiciels malveillants ciblant les périphériques réseau”, écrivent les chercheurs de Sophos.
Sophos remonte à une communauté de recherche dans le Sichuan
Sophos a commencé à étudier plus sérieusement le profil des cybercriminels deux ans plus tard, lorsque des dizaines de milliers de pare-feu à travers le monde ont été infectés pour installer un cheval de Troie et créer des botnets. Les hackers ont alors exploité de nombreuses vulnérabilités 0-day en ciblant les réseaux étendus WAN, leur permettant d’avoir accès aux données stockées sur les appareils et de déployer des charges malveillantes sur les réseaux locaux.
Au moment de publier les correctifs pour ces pare-feu, la société de cybersécurité a introduit un code supplémentaire pour collecter davantage de données sur les appareils de ses clients. En identifiant des machines “cobayes” utilisées par des pirates chinois, elle a remonté la piste d’une communauté de recherche concernant plusieurs établissements à Chengdu, dans le centre de la Chine. C’est notamment le cas d’une société intitulée “Sichuan Silence Information Technology” et d’un individu travaillant à l’Université des sciences et technologies électroniques de Chine. Le premier avait été cité dans un rapport de Meta en 2020 sur les efforts de désinformation de la part de l’État chinois.
“Cette communauté collaborerait à la recherche de vulnérabilités et partagerait ses conclusions avec des fournisseurs et des entités associées au gouvernement chinois, y compris des sous-traitants menant des opérations offensives pour le compte de l’État, expliquent les professionnels de Sophos dans leur rapport. Cependant, l’étendue et la nature complètes de ces activités n’ont pas été vérifiées de manière concluante.”
Infrastructures nucléaires, agences militaires, aéroport…
La société britannique a depuis repéré de nombreuses campagnes de la part de pirates chinois, avec un changement de tactique à partir de 2021, en passant d’attaques “généralisées et indiscriminées” à des offensives “très ciblées, contre des entités spécifiques”. Elle a par exemple découvert une campagne exploitant des vulnérabilités dans ses produits pour cibler des agences militaires et des infrastructures électriques dans un pays d’Asie du Sud-Est, et une autre visant une agence de régulation nucléaire et un aéroport d’un autre pays. Le rapport mentionne également des intrusions contre un hôpital militaire et des ministères, principalement en Asie du Sud et du Sud-Est.
Trois groupes de pirates affiliés à l’État chinois ont été identifiés par l’équipe de chercheurs : APT31, APT41 et Volt Typhoon. Ces trois gangs ont en effet fait usage de tactiques, techniques et procédures (TTP) spécifiques observées lors de la campagne “Pacific Rim”. APT31 a par exemple eu recours à des attaques par injection SQL en 2020 afin de cibler des produits Cyberoam en fin de vie. Volt Typhoon, de son côté, a infiltré des infrastructures critiques aux États-Unis pendant au moins cinq ans, et a également ciblé des routeurs Cisco et NetGear.
Les périphériques réseau, une porte d’entrée pour les hackers
Le rapport rappelle à quel point les périphériques réseau sont vulnérables aux cyberattaques, a fortiori dans le cadre de campagnes d’espionnage. Rien que cette année, les produits de cybersécurité de Cisco, d’Ivanti, mais aussi de Fortinet et de Palo Alto Networks ont été touchés par des intrusions de ce type. Une porte d’entrée de plus en plus utilisée par les hackers, notamment pour les périphériques en fin de vie, ne supportant plus les derniers correctifs. Mi-septembre, le FBI a démantelé un botnet chinois de 260 000 appareils, permettant à des hackers de mener des actions de reconnaissance contre des agences gouvernementales, universités et fournisseurs télécoms.
