FireEye découvre une campagne de piratage menée depuis 10 ans
par le groupe APT 30, qui serait parrainé par la Chine
FireEye vient de découvrir une campagne d’attaques menées par un groupe baptisé APT 30. Ces attaques trouvent leurs origines depuis 2005 et ont ciblé plusieurs entités dans différentes régions du globe afin de voler des informations sensibles. Les principales cibles sont issues de l’Asie du Sud-est et particulièrement la Thaïlande, la Corée du Sud, Le Vietnam, l’Inde et la Malaisie.
Les découvertes faites suggèrent que ces auteurs ont un intérêt particulier pour les problèmes politiques, militaires et économiques de la région citée ainsi que les médias, organisations et journalistes rapportant des informations liées à la Chine et à la légitimité de son gouvernement. Tous ces faits ont poussé FireEye à pointer du doigt la Chine comme commanditaire probable de ces attaques.
Pour infecter leurs victimes, les auteurs des attaques se servent d’un ensemble d’outils composés de portes dérobées, de téléchargeurs, d’un contrôleur central et plusieurs autres composants.
Comme exemple d’infection, FireEye explique que les portes dérobées sont installées sur les terminaux de la victime. De leur côté, les attaquants installent deux fichiers sur le serveur hôte C2 du premier niveau. Le backdoor BackSpace installé sur le poste de la victime retrouve à son tour les fichiers installés sur le serveur C2 du premier niveau et transmet les informations sur la victime par des requêtes HTTP vers l’adresse et le port (Serveur C2 du second niveau) spécifié dans le fichier d’infection. Ces informations sont utilisées pour renseigner le contrôleur disposant d’une interface graphique.
Il faut préciser que deux portes dérobées dénommées BackSpace et Neteagle ont été utilisées durant toute cette période. Elles ont évolué au cours des années pour donner deux familles de menaces respectives. BackSpace a accouché de ZR et ZJ tandis que NetEagle a donné Scout et Norton. Toutefois, les variantes de ces différentes attaques ont peu ou pas modifié dans leur mode opératoire durant toutes ces années.
Il faut également noter qu’aucune communication directe n’est effectuée entre la porte dérobée du client et celle du contrôleur. Cela exposerait le serveur C2 du second niveau. Lorsque l’attaquant souhaite établir un contrôle à distance du poste de la victime, il télécharge un fichier (connect.gif par exemple) afin d’envoyer une notification contenant les références de la victime au premier niveau du serveur C2. C’est ce fichier que va analyser le terminal de la victime afin de se connecter au contrôleur BackSapce en utilisant les références présentes dans le fichier émis.
En examinant l’extension de certains fichiers qui sont de types .exe et .dll, ces backdoors auraient été conçus en priorité pour infecter les systèmes Windows même si rien ne prouve qu’une extension sur d’autres plateformes soit envisageable.
Nous précisons, par ailleurs, qu’à chaque fois une seule copie du malware est exécutée sur les réseaux et se met à jour automatiquement afin d’opérer avec la dernière version du vecteur.
Cette attaque n’est pas monstrueusement sophistiquée, mais a pu se pérenniser durant une décennie entière sans être détectée du fait que les « les organisations en Asie estiment qu’elles ne sont pas susceptibles d’être la cible d’une cyber menace avancée. En fait, les attaquants chevronnés, conscients de la complaisance, exploitent, cette faille » a affirmé FireEye. Et de conclure que « c’est un signe clair que leurs victimes ne réalisent pas ce qui se passe ».
Source : FireEye
Télécharger le rapport complet de FireEye
Et vous ?
Que pensez-vous de ces attaques ?
Pensez-vous que d’autres entités pourraient se cacher derrière ces actions ?
Partager