D'après les informations fournies par la Cybersecurity and Infrastructure Security Agency (CISA), une agence du Département américain de la sécurité intérieure (DHS), des hackers affiliés au ministère chinois de la Sécurité d'État (MSS) se servent des vulnérabilités bien connues et des exploits open source pour infiltrer les agences gouvernementales américaines. Un rapport, publié le 14 septembre 2020 par l’agence avec le FBI, indique que « les analystes de la CISA continuent d'observer une activité de balisage indiquant un compromis ou un accès continu aux réseaux du gouvernement fédéral ». La CISA, dont la responsabilité est de superviser la cybersécurité dans tout le pays, a également pu observer les tactiques, techniques et procédures employées par les malfaiteurs chinois affiliés au MSS.
Dans le cadre d'un récent acte d'accusation du ministère américain de la Justice, de nombreux acteurs affiliés au MSS se sont intéressés à différentes industries aux États-Unis ainsi que dans plusieurs autres pays. Ils ont notamment ciblé la fabrication de produits de haute technologie, les équipements médicaux, de génie civil et industriel, les logiciels commerciaux, éducatifs et de jeux, l'énergie solaire, les produits pharmaceutiques et la défense. Le but de ces hackers était de s'enrichir personnellement, mais aussi pour le compte du MSS chinois. Leur processus commence par l'obtention d'un accès initial, la collecte, le stockage d'informations d'identification, la sélection de cibles, la collecte d'informations, puis le renforcement des capacités par la mise en place du commandement et du contrôle dans un système compromis.
« Ce balisage est le résultat du fait que les acteurs de la cybermenace réussissent à mener à bien des cyberopérations qui sont souvent conçues autour de vulnérabilités émergentes et reposent sur des outils d'exploitation existants », peut-on lire dans le rapport.
Si la CISA a pu observer cela, c'est grâce à une activité provenant d'une adresse IP du gouvernement fédéral, qui mène directement au serveur des hackers.
Pour la sélection des cibles, qui est une partie primordiale des cyberopérations, les hackers ont recours à des sources d'information comme Shodan, un moteur de recherche permettant d'identifier les appareils vulnérables connectés à Internet. Ils utilisent également la base de données Common Vulnerabilities and Exposure (CVE) et la base de données National Vulnerabilities Database (NVD).
« En utilisant ces sources de données, les analystes de la CISA ont observé une corrélation entre la publication publique d'une vulnérabilité et l'analyse ciblée des systèmes identifiés comme vulnérables. Cette corrélation suggère que les acteurs de la cyber-menace s'appuient également sur Shodan, la base de données CVE, le NVD et d'autres informations open source pour identifier les cibles d'opportunité et planifier les cyberopérations », précise le document.
La CISA a dit avoir découvert un trafic qui montre comment des acteurs chinois affiliés au MSS tentent d'exploiter une certaine vulnérabilité dans les semaines suivant sa divulgation publique.
« Dans certains cas, les acteurs de la cyber-menace ont utilisé les mêmes vulnérabilités pour compromettre plusieurs organisations dans de nombreux secteurs. Les organisations ne semblent pas atténuer les vulnérabilités connues aussi rapidement que les cyber-menaces les exploitent », a déclaré la CISA.
Au cours des 12 derniers mois, ces acteurs chinois ont exploité quelques vulnérabilités. C’est le cas de la vulnérabilité dans l’interface utilisateur de gestion du trafic Big-IP de F5, qui leur permet d’exécuter des commandes de système arbitraires, de créer ou de supprimer des fichiers, de désactiver des services et/ou d’exécuter du code Java. Ils ont également pu exécuter des attaques en exploitant la vulnérabilité CVE-2019-19781 affectant Citrix. De plus, la CISA a découvert que les acteurs ont exploité une faille qui rend les serveurs Microsoft Exchange vulnérables, les permettant de collecter des adresses e-mails.
Pour identifier ces faiblesses techniques, les malfaiteurs font appel à des identifiants permettant d'analyser l'architecture et la posture de la configuration, ainsi qu'à des identifiants destinés à rechercher les vulnérabilités pertinentes. Pour ce faire, ils se servent d'outils d'exploitation tels que Cobalt Strike, China Chopper Web Shell et aussi Mimikatz.
Par ailleurs, la CISA et le FBI demandent aux organisations de « vérifier régulièrement leurs programmes de configuration et de gestion des correctifs pour s’assurer qu’elles peuvent suivre et atténuer les menaces émergentes ». « La mise en œuvre d’un programme rigoureux de configuration et de gestion des correctifs entravera les opérations sophistiquées des acteurs de la cyber-menace et protégera les ressources et les systèmes d’information des organisations », concluent-ils.
Source : CISA
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Les États-Unis accusent deux hackers chinois d'avoir piraté des téraoctets de données incluant celles sur la recherche sur le COVID-19, et d'avoir reçu le soutien de leur gouvernement Les malwares dissimulés dans les logiciels obligatoires en Chine sont plus nombreux qu'on ne le pensait, d'après un nouveau rapport La Chine a violé l'accord avec les USA où elle s'engage à ne pas lancer des cyberattaques à des fins d'espionnage économique, selon un responsable US Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées Une banque chinoise a exigé de deux sociétés occidentales qu'elles utilisent un logiciel de taxe avec une porte dérobée dissimulée, selon un nouveau rapport 
.
