Les pirates informatiques derrière la campagne sont équipés d'outils standard ou sur mesure, selon le rapport. L'un des outils utilisés par les cybercriminels exploite Zerologon, le nom donné à une vulnérabilité de serveur Windows, corrigée en août, qui peut donner aux attaquants des privilèges d'administrateur instantanés sur les systèmes vulnérables. L'ampleur et la sophistication de cette campagne d'attaques indiquent qu'elle est le fait d'un groupe important et bien doté en ressources, Symantec ayant découvert suffisamment de preuves pour l'attribuer à Cicada. Symantec utilise le nom de code Cicada pour désigner le groupe, auquel d'autres organismes de recherche ont attribué les noms d'APT10, Stone Panda et Cloud Hopper.
APT10 a déjà été cité par les États-Unis comme étant un groupe de pirates informatiques soutenus par l'État et liés aux services de renseignement et à l'armée chinoise. Selon le DOJ, à compter de 2006, APT10 a eu recours à un ensemble de techniques pour s’introduire dans des réseaux des entreprises et des agences gouvernementales américaines, y compris la marine américaine, l'agence spatiale NASA, le département de l'énergie et des dizaines de sociétés afin de s’emparer des informations sensibles, y compris la propriété intellectuelle et les secrets d'entreprise pour donner aux entreprises chinoises un avantage concurrentiel injuste, selon un rapport de Reuters publié en décembre 2018.
Selon les chercheurs de Symantec, le groupe est actif dans le piratage de type espion depuis plusieurs années et cible presque exclusivement des entreprises liées au Japon. Si les entreprises visées par la récente campagne sont reparties aux États-Unis et dans d'autres pays, toutes ont des liens avec le Japon ou des entreprises japonaises.
« Les organisations liées au Japon doivent être en alerte, car il est clair qu'elles sont une cible clé de ce groupe sophistiqué et bien doté en ressources, l'industrie automobile semblant être une cible clé de cette campagne d'attaque », ont écrit les chercheurs de la société de sécurité Symantec dans un rapport. « Toutefois, étant donné le large éventail d'industries visées par ces attaques, les organisations japonaises de tous les secteurs doivent être conscientes qu'elles sont exposées à ce genre d'activité ».
Outils et techniques utilisés dans la campagne de piratage
Selon les chercheurs, les pirates informatiques ont utilisé dans cette campagne d'attaques des outils déjà utilisés dans d’autres campagnes auparavant ainsi que des outils sur mesure, dont un logiciel malveillant personnalisé - Backdoor.Hartip - que Symantec n'avait jamais vu utiliser par le groupe auparavant.
Les attaques dans la campagne utilisent largement le DLL side-loading, une technique qui se produit lorsque les pirates informatiques remplacent un fichier légitime de la bibliothèque de liens dynamiques de Windows par un fichier malveillant. Les attaquants utilisent le DLL side-loading pour injecter des logiciels malveillants dans des processus légitimes afin d'empêcher le piratage d'être détecté par les logiciels de sécurité.
La campagne fait également appel à un outil capable d'exploiter Zerologon. Les exploits fonctionnent en envoyant une chaîne de zéros dans une série de messages qui utilisent le protocole Netlogon, que les serveurs Windows utilisent pour permettre aux utilisateurs de se connecter aux réseaux. Les personnes sans authentification peuvent utiliser Zerologon pour accéder aux "crown jewels" d'une organisation - les contrôleurs de domaine Active Directory qui font office de gatekeeper tout puissant pour toutes les machines connectées à un réseau.
Microsoft a corrigé la vulnérabilité critique de l'escalade des privilèges en août, mais depuis lors, les attaquants l'utilisent pour compromettre les organisations qui n'ont pas encore installé la mise à jour, d’après le rapport. Le FBI et le département de la Sécurité intérieure ont tous deux insisté pour que les systèmes soient corrigés immédiatement.
Les chercheurs ont également observé que les attaquants utilisaient dans ces attaques une grande variété de tactiques, dont la reconnaissance du réseau en collectant des informations à partir de machines sur le réseau ; le vol de références (les noms d'utilisateur et de mots de passe, potentiellement pour leur donner un accès supplémentaire au réseau de la victime) ; l’archivage RAR, les fichiers sont ensuite transférés sur des serveurs de transit avant d'être exfiltrés. Ils peuvent être chiffrés ou compressés, afin de faciliter leur extraction.
Le groupe utilise également Certutil, un utilitaire de ligne de commande qui peut être exploité et utilisé à diverses fins malveillantes, telles que le décodage d'informations, le téléchargement de fichiers et l'installation de certificats racine de navigateur. Les acteurs de la menace utilisent également un service légitime d'hébergement de fichiers dans le nuage pour l'exfiltration. Symantec énumère plusieurs autres outils et tactiques que le groupe utilise lors des attaques.
Parmi les machines compromises lors des attaques découvertes par Symantec figuraient des contrôleurs de domaine et des serveurs de fichiers. Les chercheurs de l'entreprise ont également découvert des preuves de l'exfiltration de fichiers à partir de certaines des machines compromises.
Victimes des cyberattaques et preuves de l’implication du groupe Cicada
Selon le rapport, cette campagne se poursuit depuis au moins la mi-octobre 2019, jusqu'au début du mois d'octobre 2020, le groupe d'attaque étant actif sur les réseaux de certaines de ses victimes depuis près d'un an. La campagne est très vaste, avec des victimes dans un grand nombre de régions du monde. Les entreprises touchées sont, pour l'essentiel, de grandes organisations bien connues, dont beaucoup ont des liens avec le Japon ou des entreprises japonaises, ce qui est l'un des principaux facteurs de rapprochement des victimes. Les victimes proviennent de divers secteurs d’activité, notamment :
- Automobile, certains fabricants et organisations impliqués dans la fourniture de pièces à l'industrie automobile étant également visés, ce qui indique qu'il s'agit d'un secteur qui intéresse fortement les agresseurs
- Vêtements
- Conglomérats
- Électronique
- Ingénierie
- Sociétés de commerce général
- Gouvernement
- Produits industriels
- Fournisseurs de services gérés
- Fabrication
- Produits pharmaceutiques
- Services professionnels
Carte de l'emplacement physique des cibles
Symantec a établi un lien entre les attaques et Cicada en se basant sur les empreintes trouvées dans un malware et le code d'attaque. Les empreintes comprenaient des techniques d'obscurcissement et le code shell impliqué dans le DLL side-loading ainsi que les caractéristiques suivantes notées dans un rapport de 2019 de la société de sécurité Cylance :
- DLL de la troisième phase a une exportation appelée "FuckYouAnti"
- DLL de la troisième phase utilise la technique CppHostCLR pour injecter et exécuter l'assemblage du chargeur .NET
- Chargeur .NET obscurci par ConfuserEx v1.0.0
- Charge utile finale est QuasarRAT, une porte dérobée open source utilisée par Cicada dans le passé.
« L'ampleur des opérations indique également la taille et les capacités d'un groupe comme Cicada », ont écrit les chercheurs de Symantec. « Le ciblage simultané de plusieurs grandes organisations dans différentes régions géographiques nécessiterait beaucoup de ressources et de compétences qui ne sont généralement disponibles que dans les groupes soutenus par les États-nations. Le lien que toutes les victimes ont avec le Japon pointe également vers Cicada, dont on sait qu'il a ciblé des organisations japonaises par le passé ».
Le rapport note également qu’il est inhabituel de voir un groupe apparemment lié au gouvernement chinois attaquer des entreprises à l'intérieur des frontières chinoises, mais comme beaucoup d'entreprises visées par cette campagne, la cible est dans ce cas une filiale d'une organisation japonaise.
Source : Symantec
Et vous ?
Que pensez-vous de cette campagne de cyberattaques qui cible les entreprises liées au Japon à travers le monde ?
Les attaques ont exploité la vulnérabilité Zerologon alors qu’elle avait déjà été corrigée par Microsoft. Quels commentaires en faites-vous ?
Voir aussi :
États-Unis : une ordonnance d'urgence visant à permettre aux agences de corriger une faille critique de Windows a été publiée, le 18 septembre 2020
Microsoft met en garde contre l'exécution d'un code Windows Zero-day qui est activement exploitée, voici ce qu'il faut faire en attendant que Microsoft publie un correctif
La NASA piratée à cause d'un Raspberry Pi non autorisé connecté à son réseau, selon un rapport
Airbus frappé par une série de cyberattaques contre des fournisseurs, les pirates ayant ciblé les VPN qui lient ces derniers au constructeur aéronautique, selon des sources de sécurité