Discussion :

[Axel Lecomte]

Des hackers affiliés au ministère chinois de la Sécurité d'État ont compromis les systèmes du gouvernement américain,
en exploitant des vulnérabilités bien connues

D'après les informations fournies par la Cybersecurity and Infrastructure Security Agency (CISA), une agence du Département américain de la sécurité intérieure (DHS), des hackers affiliés au ministère chinois de la Sécurité d'État (MSS) se servent des vulnérabilités bien connues et des exploits open source pour infiltrer les agences gouvernementales américaines.

Un rapport, publié le 14 septembre 2020 par l’agence avec le FBI, indique que « les analystes de la CISA continuent d'observer une activité de balisage indiquant un compromis ou un accès continu aux réseaux du gouvernement fédéral ». La CISA, dont la responsabilité est de superviser la cybersécurité dans tout le pays, a également pu observer les tactiques, techniques et procédures employées par les malfaiteurs chinois affiliés au MSS.

Dans le cadre d'un récent acte d'accusation du ministère américain de la Justice, de nombreux acteurs affiliés au MSS se sont intéressés à différentes industries aux États-Unis ainsi que dans plusieurs autres pays. Ils ont notamment ciblé la fabrication de produits de haute technologie, les équipements médicaux, de génie civil et industriel, les logiciels commerciaux, éducatifs et de jeux, l'énergie solaire, les produits pharmaceutiques et la défense. Le but de ces hackers était de s'enrichir personnellement, mais aussi pour le compte du MSS chinois. Leur processus commence par l'obtention d'un accès initial, la collecte, le stockage d'informations d'identification, la sélection de cibles, la collecte d'informations, puis le renforcement des capacités par la mise en place du commandement et du contrôle dans un système compromis.

« Ce balisage est le résultat du fait que les acteurs de la cybermenace réussissent à mener à bien des cyberopérations qui sont souvent conçues autour de vulnérabilités émergentes et reposent sur des outils d'exploitation existants », peut-on lire dans le rapport.

Si la CISA a pu observer cela, c'est grâce à une activité provenant d'une adresse IP du gouvernement fédéral, qui mène directement au serveur des hackers.

Pour la sélection des cibles, qui est une partie primordiale des cyberopérations, les hackers ont recours à des sources d'information comme Shodan, un moteur de recherche permettant d'identifier les appareils vulnérables connectés à Internet. Ils utilisent également la base de données Common Vulnerabilities and Exposure (CVE) et la base de données National Vulnerabilities Database (NVD).

« En utilisant ces sources de données, les analystes de la CISA ont observé une corrélation entre la publication publique d'une vulnérabilité et l'analyse ciblée des systèmes identifiés comme vulnérables. Cette corrélation suggère que les acteurs de la cyber-menace s'appuient également sur Shodan, la base de données CVE, le NVD et d'autres informations open source pour identifier les cibles d'opportunité et planifier les cyberopérations », précise le document.

La CISA a dit avoir découvert un trafic qui montre comment des acteurs chinois affiliés au MSS tentent d'exploiter une certaine vulnérabilité dans les semaines suivant sa divulgation publique.

« Dans certains cas, les acteurs de la cyber-menace ont utilisé les mêmes vulnérabilités pour compromettre plusieurs organisations dans de nombreux secteurs. Les organisations ne semblent pas atténuer les vulnérabilités connues aussi rapidement que les cyber-menaces les exploitent », a déclaré la CISA.

Au cours des 12 derniers mois, ces acteurs chinois ont exploité quelques vulnérabilités. C’est le cas de la vulnérabilité dans l’interface utilisateur de gestion du trafic Big-IP de F5, qui leur permet d’exécuter des commandes de système arbitraires, de créer ou de supprimer des fichiers, de désactiver des services et/ou d’exécuter du code Java. Ils ont également pu exécuter des attaques en exploitant la vulnérabilité CVE-2019-19781 affectant Citrix. De plus, la CISA a découvert que les acteurs ont exploité une faille qui rend les serveurs Microsoft Exchange vulnérables, les permettant de collecter des adresses e-mails.

Pour identifier ces faiblesses techniques, les malfaiteurs font appel à des identifiants permettant d'analyser l'architecture et la posture de la configuration, ainsi qu'à des identifiants destinés à rechercher les vulnérabilités pertinentes. Pour ce faire, ils se servent d'outils d'exploitation tels que Cobalt Strike, China Chopper Web Shell et aussi Mimikatz.

Par ailleurs, la CISA et le FBI demandent aux organisations de « vérifier régulièrement leurs programmes de configuration et de gestion des correctifs pour s’assurer qu’elles peuvent suivre et atténuer les menaces émergentes ». « La mise en œuvre d’un programme rigoureux de configuration et de gestion des correctifs entravera les opérations sophistiquées des acteurs de la cyber-menace et protégera les ressources et les systèmes d’information des organisations », concluent-ils.

Source : CISA

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Les États-Unis accusent deux hackers chinois d'avoir piraté des téraoctets de données incluant celles sur la recherche sur le COVID-19, et d'avoir reçu le soutien de leur gouvernement
Les malwares dissimulés dans les logiciels obligatoires en Chine sont plus nombreux qu'on ne le pensait, d'après un nouveau rapport
La Chine a violé l'accord avec les USA où elle s'engage à ne pas lancer des cyberattaques à des fins d'espionnage économique, selon un responsable US
Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
Une banque chinoise a exigé de deux sociétés occidentales qu'elles utilisent un logiciel de taxe avec une porte dérobée dissimulée, selon un nouveau rapport

[defZero]

Qu'en pensez-vous ?

J'en pense que ce n'est pas très malin d'avoir des base de donnés répertoriant les exploits découvert et de ne pas l'utilisé pour sécuriser sont propre système.
D'autant que ces bases sont toutes en anglais et maintenue / supporté par le gouvernement US .

Y a pas à dire, plus c'est gros plus ça passe .

[Mubelotix]

Les gens font des conclusions un peu hâtives. Il me semblait que c'était possible d'usurper une IP ce qui rendrait invalide le raisonnement ? Enfin en tout cas le gouvernement chinois devraient arrêter de faire les malin et de donner des Casus Belli au monde entier car ça va mal finir.

[disedorgue]

Les innocents aux mains pleines...

Faut arrêter de voir les américains comme les gentils gendarmes de la planète...

Je ne dis pas que les chinois (ou autres) sont des victimes, mais qu'en est-il de la surveillance globale des américains ainsi que des malwares incrustés au plus profond de nos hardwares par nos gentils gendarmes planétaire ?

[ParseCoder]

Y'a un truc qui m'a toujours épaté, c'est que les hackers (russes et chinois en particuliers) laissent toujours des traces pour qu'on sache pour quel gouvernement et quel ministère ils travaillent. A croire qu'ils laissent leur CV sur les systèmes qu'ils piratent pour qu'on sache bien que c'est eux!