IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le groupe de cyberespionnage baptisé APT 30 vient d’être découvert après dix ans d’infection


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 555
    Points
    26 555
    Par défaut Le groupe de cyberespionnage baptisé APT 30 vient d’être découvert après dix ans d’infection
    FireEye découvre une campagne de piratage menée depuis 10 ans
    par le groupe APT 30, qui serait parrainé par la Chine

    FireEye vient de découvrir une campagne d’attaques menées par un groupe baptisé APT 30. Ces attaques trouvent leurs origines depuis 2005 et ont ciblé plusieurs entités dans différentes régions du globe afin de voler des informations sensibles. Les principales cibles sont issues de l’Asie du Sud-est et particulièrement la Thaïlande, la Corée du Sud, Le Vietnam, l’Inde et la Malaisie.

    Les découvertes faites suggèrent que ces auteurs ont un intérêt particulier pour les problèmes politiques, militaires et économiques de la région citée ainsi que les médias, organisations et journalistes rapportant des informations liées à la Chine et à la légitimité de son gouvernement. Tous ces faits ont poussé FireEye à pointer du doigt la Chine comme commanditaire probable de ces attaques.

    Pour infecter leurs victimes, les auteurs des attaques se servent d’un ensemble d’outils composés de portes dérobées, de téléchargeurs, d’un contrôleur central et plusieurs autres composants.

    Comme exemple d’infection, FireEye explique que les portes dérobées sont installées sur les terminaux de la victime. De leur côté, les attaquants installent deux fichiers sur le serveur hôte C2 du premier niveau. Le backdoor BackSpace installé sur le poste de la victime retrouve à son tour les fichiers installés sur le serveur C2 du premier niveau et transmet les informations sur la victime par des requêtes HTTP vers l’adresse et le port (Serveur C2 du second niveau) spécifié dans le fichier d’infection. Ces informations sont utilisées pour renseigner le contrôleur disposant d’une interface graphique.

    Il faut préciser que deux portes dérobées dénommées BackSpace et Neteagle ont été utilisées durant toute cette période. Elles ont évolué au cours des années pour donner deux familles de menaces respectives. BackSpace a accouché de ZR et ZJ tandis que NetEagle a donné Scout et Norton. Toutefois, les variantes de ces différentes attaques ont peu ou pas modifié dans leur mode opératoire durant toutes ces années.

    Il faut également noter qu’aucune communication directe n’est effectuée entre la porte dérobée du client et celle du contrôleur. Cela exposerait le serveur C2 du second niveau. Lorsque l’attaquant souhaite établir un contrôle à distance du poste de la victime, il télécharge un fichier (connect.gif par exemple) afin d’envoyer une notification contenant les références de la victime au premier niveau du serveur C2. C’est ce fichier que va analyser le terminal de la victime afin de se connecter au contrôleur BackSapce en utilisant les références présentes dans le fichier émis.

    En examinant l’extension de certains fichiers qui sont de types .exe et .dll, ces backdoors auraient été conçus en priorité pour infecter les systèmes Windows même si rien ne prouve qu’une extension sur d’autres plateformes soit envisageable.

    Nous précisons, par ailleurs, qu’à chaque fois une seule copie du malware est exécutée sur les réseaux et se met à jour automatiquement afin d’opérer avec la dernière version du vecteur.

    Cette attaque n’est pas monstrueusement sophistiquée, mais a pu se pérenniser durant une décennie entière sans être détectée du fait que les « les organisations en Asie estiment qu’elles ne sont pas susceptibles d’être la cible d’une cyber menace avancée. En fait, les attaquants chevronnés, conscients de la complaisance, exploitent, cette faille » a affirmé FireEye. Et de conclure que « c’est un signe clair que leurs victimes ne réalisent pas ce qui se passe ».

    Source : FireEye

    Télécharger le rapport complet de FireEye


    Et vous ?

    Que pensez-vous de ces attaques ?

    Pensez-vous que d’autres entités pourraient se cacher derrière ces actions ?

  2. #2
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 789
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 789
    Points : 7 276
    Points
    7 276
    Par défaut
    Comme pour l'ensemble des attaques subies par les entreprises françaises depuis les attentats de Charlie Hebdo, il reste claire qu'Apt30 dispose d'appuis logistiques comme financiers d'un Etat. Ce ne sont que des mercenaires à la solde d'une grande puissance, tout comme cybercaliphat, l'auteur de l'attaque de TV5, retentissante médiatiquement mais aux conséquences en soit plus spectaculaires que dramatiques.

    Le véritable drame se trouve dans le confort de la loi renseignement. La prise de conscience est là mais la mesure reste inadéquate.

  3. #3
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 038
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 038
    Points : 8 405
    Points
    8 405
    Par défaut
    100% d'accord avec marsupial.

    j'en profite pour rebondir, un peu hors du sujet principal et uniquement sur la dernière remarque;
    Citation Envoyé par marsupial Voir le message
    Le véritable drame se trouve dans le confort de la loi renseignement. La prise de conscience est là mais la mesure reste inadéquate.
    qu'on se le dise la neutralité du net vient de sauter purement et simplement, bien dissimulée derrière le cheval de Troie de la lutte contre le terrorisme.

    on peut par ailleurs lire un peu partout que "63% des français sont d'accord pour rogner un peu sur leurs libertés si ça leur assure plus de sécurité", je me contenterais de citer Benjamin Franklin, "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux".

Discussions similaires

  1. Pointer Events initié par Microsoft vient d’être recommandé par W3C
    Par Olivier Famien dans le forum Balisage (X)HTML et validation W3C
    Réponses: 0
    Dernier message: 26/02/2015, 19h12
  2. [RaveReport] - Bloquer groupe sur une page
    Par muaddib dans le forum Rave
    Réponses: 3
    Dernier message: 25/02/2003, 16h21
  3. gestion des groupes
    Par muaddib dans le forum QuickReport
    Réponses: 3
    Dernier message: 31/12/2002, 11h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo