Alors que l’ANSSI vient de rapporter qu’une campagne de cyberattaques menée par APT31, un groupe de hackers affilié à l’État chinois, est en cours sur des entités françaises, de son côté Cybereason vient de découvrir plusieurs campagnes de cyberattaques à des fins de cyberespionnage menées par des acteurs de la menace chinois et infiltrant d’importants opérateurs télécoms en Asie du Sud-Est.
Le rapport sur DeadRinger met en évidence les tendances d’attaques qui s’appuient sur des fournisseurs de services pour compromettre des cibles multiples.
Tribune – Cybereason, spécialiste mondial de la protection proactive contre les cyberattaques, annonce la découverte de plusieurs campagnes de cyberattaques non identifiées jusqu’à présent, infiltrant d’importants opérateurs télécoms en Asie du Sud-Est. À l’instar des récentes attaques de SolarWinds et de Kaseya, les acteurs de la menace ont compromis des fournisseurs de services tiers – dans ce cas, les télécommunications – avec l’intention de cibler leurs clients par le biais du cyberespionnage.
Le rapport fait suite à la réprimande publique de l’administration Biden à l’encontre du ministère de la sécurité d’État chinois pour les récentes attaques HAFNIUM qui ont exploité les vulnérabilités des serveurs Microsoft Exchange non corrigés et mis en danger des milliers d’organisations dans le monde. L’exploitation de ces mêmes vulnérabilités a joué un rôle central dans le succès des attaques décrites dans cette étude.
Dans le rapport, intitulé DeadRinger : Exposing Chinese Threat Actors Targeting Major Telcos, de multiples clusters d’attaques qui ont été identifiés ont échappé à la détection depuis 2017 (à minima) et sont évalués comme étant l’œuvre de plusieurs groupes importants de menaces persistantes avancées (APT) alignés sur les intérêts du gouvernement chinois. Cybereason a observé un chevauchement important des tactiques, techniques et procédures (TTP) dans les trois opérations et a évalué que les attaquants étaient probablement chargés d’objectifs parallèles sous la direction d’un organisme de coordination centralisé aligné sur les intérêts de l’État chinois.
« Ces attaques sont très préoccupantes car elles compromettent la sécurité des fournisseurs d’infrastructures critiques et exposent les informations confidentielles et exclusives d’organisations publiques et privées qui dépendent de communications sécurisées pour mener leurs activités. Ces opérations d’espionnage parrainées par l’État chinois n’ont pas seulement un impact négatif sur les clients et les partenaires commerciaux des opérateurs de télécommunications, elles peuvent également menacer la sécurité nationale des pays de la région et de ceux qui ont un intérêt direct dans la stabilité de la région », a déclaré Lior Div, PDG et cofondateur de Cybereason, « C’est pourquoi Cybereason maintient une équipe mondiale d’enquêteurs expérimentés en matière de renseignement sur les menaces, dont l’objectif est d’exposer les tactiques, les techniques et les procédures des adversaires avancés afin de mieux protéger les organisations contre ce type d’attaques complexes, aujourd’hui et à l’avenir ».
Parmi les principales conclusions du rapport :
- Adaptative, persistante et évasive : Les attaquants hautement agiles ont travaillé avec diligence pour masquer leur activité et maintenir la persistance sur les systèmes infectés, répondant dynamiquement aux tentatives d’atténuation après avoir échappé aux efforts de sécurité depuis au moins 2017, ce qui indique que les cibles ont une grande valeur pour les attaquants.
- Compromission de parties tierces pour atteindre des cibles spécifiques : À l’instar des récentes attaques de SolarWinds et de Kaseya, les acteurs de la menace ont compromis des tierces parties — dans ce cas, des opérateurs télécoms — dans l’intention de mener une surveillance sur des clients spécifiques de grande valeur des fournisseurs affectés.
- Exploitation des vulnérabilités de Microsoft Exchange : Comme pour les attaques HAFNIUM, les acteurs de la menace ont exploité des vulnérabilités récemment divulguées dans les serveurs Microsoft Exchange pour accéder aux réseaux ciblés. Ils ont ensuite procédé à la compromission d’actifs réseau critiques tels que les contrôleurs de domaine (DC) et les systèmes de facturation qui contiennent des informations très sensibles comme les données des enregistrements détaillés des appels (CDR), ce qui leur a permis d’accéder aux communications sensibles de toute personne utilisant les services de télécommunication affectés.
- Des cibles d’espionnage d’une grande valeur : Sur la base des conclusions précédentes du rapport Operation Soft Cell que Cybereason a publié en 2019, ainsi que d’autres analyses publiées sur les opérations menées par ces acteurs de la menace, il est évalué que les télécoms ont été compromis afin de faciliter l’espionnage contre des cibles sélectionnées. Ces cibles sont susceptibles d’inclure des entreprises, des personnalités politiques, des responsables gouvernementaux, des organismes d’application de la loi, des militants politiques et des factions dissidentes qui intéressent le gouvernement chinois.
- Opérer dans l’intérêt de la Chine : Trois groupes d’attaques distincts ont des degrés divers de connexion avec les groupes APT : Soft Cell, Naikon et Group-3390 — tous connus pour opérer dans l’intérêt du gouvernement chinois. Les chevauchements dans les TTP des attaquants à travers les clusters sont la preuve d’une connexion probable entre les acteurs de la menace, soutenant l’évaluation selon laquelle chaque groupe a été chargé d’objectifs parallèles de surveillance des communications de cibles spécifiques de grande valeur sous la direction d’un organisme de coordination centralisé aligné sur les intérêts de l’État chinois.
- Impact plus large possible : Ces attaques ont compromis des opérateurs télécoms principalement dans les pays de l’ASEAN, mais les attaques pourraient être reproduites contre des telcos dans d’autres régions. Si l’évaluation qui prévaut est que les opérations n’étaient destinées qu’à des fins d’espionnage, il n’en reste pas moins que si les attaquants avaient décidé de modifier leurs objectifs, passant de l’espionnage à l’ingérence, ils auraient eu la capacité de perturber les communications de n’importe quel client opérateurs touché.