IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'agence française de sécurité des SI avertit que les routeurs d'individus et d'entreprises sont les cibles d'attaques menées par APT31,
Un groupe de hackers qui serait soutenu par la Chine

Le , par Olivier Famien

40PARTAGES

6  0 
Ce mercredi, l’Agence nationale française de la sécurité des systèmes d’information (en abrégé ANSSI) a alerté les entreprises et les organisations nationales après avoir détecté une vague d’intrusions ciblant de nombreuses entités françaises. Selon les indicateurs récoltés sur les appareils compromis et mis à la disposition de l’ANSSI, ces attaques seraient menées par le groupe de pirates Advanced Persistent Threat 31 (APT31). Dans son communiqué l’ANSSI explique que cette campagne qui est « ;particulièrement virulente, est conduite par le mode opératoire APT31 ;». L’agence de sécurité française ajoute que « ;les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques ;».

APT31, également connu sous les noms de Zirconium, Judgment Panda, Keres Rouge et bien d’autres noms encore, est un groupe de pirates informatiques qui opèrent depuis longtemps et est décrit comme travaillant pour le gouvernement chinois. Pour le National Cyber Security Centre, l’autorité technique du Royaume-Uni pour les cybermenaces et qui agit également comme une équipe de réponse aux incidents de sécurité informatique, il est presque certain qu’APT31 est un groupe d’entrepreneurs travaillant directement pour le ministère chinois de la Sécurité d’État. À son actif, on lui impute de nombreuses opérations d’espionnage et de vol d’informations. Selon le National Cyber Security Centre, APT31 a commis plusieurs forfaits en 2020 comme des attaques contre plusieurs entités gouvernementales, des personnalités politiques, des entrepreneurs, des prestataires de services, des pays européens et même le Parlement finlandais.


Pas plus tard que lundi dernier, le Royaume-Uni et l’Union européenne ont fait un communiqué pour dénoncer les cyberactivités malveillantes menées au début de cette année par des groupes de pirates chinois comprenant également APT31. Ces attaques ont compromis et exploité plus d’un quart de millions de serveurs Microsoft Exchange appartenant à des dizaines de milliers d’organisations dans le monde, y compris des organisations basées dans les États membres et les institutions de l’UE. Selon le Royaume-Uni et l’Union européenne, « ;l’attaque était très susceptible de permettre un espionnage à grande échelle, notamment l’acquisition d’informations personnellement identifiables et de propriété intellectuelle ;». Après enquête, les preuves obtenues permettent au Royaume-Uni, à l’Union européenne, aux États-Unis et à l’OTAN de pointer du doigt le ministère chinois de la Sécurité d’État (MSS) comme étant à l’origine de ces cyberactivités malveillantes connues par les experts en cybersécurité sous le nom d’« ;APT40 ;» et « ;APT31 ;».

Parallèlement à ces déclarations, la NSA, la CISA et le FBI ont publié un avis conjoint avec plus de 50 tactiques, techniques et procédures que les pirates parrainés par l’État chinois ont utilisées dans des attaques contre les réseaux américains et alliés.

Concernant les récentes attaques contre les organisations françaises imputées à APT31, l’État français n’accuse pas ouvertement le gouvernement chinois, mais plutôt APT31, même si l’UE, le Royaume-Uni, les États-Unis et l’OTAN l’ont fait dans leurs déclarations parlant du piratage des serveurs de Microsoft Exchange.

Pour aider à détecter plus facilement les attaques menées par APT31, l’ANSSI a fourni des marqueurs issus des routeurs compromis afin de permettre à tout le monde de rechercher des éléments compromissions (depuis le début de l’année 2021) et de les mettre en détection. Ces marqueurs contiennent 161 adresses IP collectées sur des routeurs compromis. Toutefois, l’ANSSI précise que « ;toute détection à partir de ces éléments ne constitue pas nécessairement une preuve de compromission et doit être analysée afin de lever le doute ;».

Pour apporter un peu plus de lumière sur ces adresses IP, le chercheur Will Thomas de la société de sécurité Cyjax a mis en ligne un graphe représentant les pays dans lesquels les routeurs compromis se trouvent.


Comme l’image l’indique, la plus grande partie des 161 adresses IP est concentrée en Russie (34,2 %). Après, nous avons l’Égypte (19,6 %) puis les Émirats arabes unis (8,2 %). Aucune des adresses n’est hébergée en France ou dans l’un des pays d’Europe occidentale, ou des pays faisant partie de l’alliance Five Eyes.

Ben Koehl, l’analyste des menaces de Microsoft, a fait quelques précisions en déclarant que « ;Les investigations montrent que ce mode de fonctionnement compromet les routeurs pour les utiliser comme relais d’anonymisation, avant de mener des actions de reconnaissance et d’attaque ;». Il ajoute que « ;ZIRCONIUM semble exploiter de nombreux réseaux de routeurs pour faciliter ces actions. Ils sont superposés et utilisés de manière stratégique. Si vous recherchez ces adresses IP, elles doivent être utilisées principalement comme adresses IP source, mais elles pointent parfois le trafic d’implant vers le réseau ;». Enfin, l’analyste précise qu’« ;historiquement, ils ont fait l’approche classique I have a dnsname -> IP pour les communications C2. Ils ont depuis déplacé ce trafic vers le réseau du routeur. Cela leur permet de manipuler la destination du trafic à plusieurs niveaux tout en ralentissant les efforts des éléments de poursuite. De l’autre côté, ils sont capables de sortir du pays de leurs cibles pour _un peu_ échapper aux techniques de détection de base ;».


Pour ceux qui souhaiteraient se prémunir contre ces attaques, des gestes comme la mise à jour de leurs routeurs, la désactivation de l’administration à distance ou encore le redémarrage périodique de ces appareils peuvent aider à éviter ce type de compromission même si rien n’est garanti à 100 %.

Source : ANSSI, Twitter Will Thomas, Twitter Ben Koehl, Communiqué UK, Communiqué UE

Et vous ?

Selon vous, ces attaques sont-elles menées par la Chine ?

Pensez-vous que la découverte des attaques va donner lieu à une riposte de la France contre la France ;?

Une erreur dans cette actualité ? Signalez-le nous !