La Chine stocke et se sert probablement des vulnérabilités zero-day

Selon Microsoft qui note une augmentation des cyberattaques depuis que la loi exige que les vulnérabilités soient signalées à Pékin

La Chine stocke et se sert probablement des vulnérabilités zero-day, selon Microsoft
qui note une augmentation de l'espionnage et des cyberattaques depuis que la loi exige que les vulnérabilités soient d'abord signalées à Pékin

Microsoft a affirmé que les cybercapacités offensives de la Chine se sont améliorées, grâce à une loi qui a permis à Pékin de créer un arsenal de vulnérabilités logicielles non signalées. La loi chinoise de 2021 obligeait les organisations à signaler les failles de sécurité aux autorités locales avant de les divulguer à toute autre entité. Les règles signifient que Pékin peut utiliser la recherche locale pour accumuler des informations sur les vulnérabilités. Un an plus tard, des chercheurs de l'Atlantic Council ont constaté une diminution des vulnérabilités signalées en provenance de Chine – et une augmentation des signalements anonymes.

Le 23 février 2022, le monde de la cybersécurité est entré dans une nouvelle ère, l'ère de la guerre hybride, alors que la Russie lançait des attaques physiques et numériques contre l'Ukraine. Le rapport sur la défense numérique de Microsoft de cette année fournit de nouveaux détails sur ces attaques et sur l'augmentation de la cyberagression émanant de dirigeants autoritaires du monde entier.

Au cours de l'année écoulée, les cyberattaques ciblant les infrastructures critiques sont passées de 20 % de toutes les attaques d'États-nations détectées par Microsoft à 40 %. Ce pic était dû, en grande partie, à l'objectif de la Russie d'endommager les infrastructures ukrainiennes et à l'espionnage agressif ciblant les alliés de l'Ukraine, y compris les États-Unis. La Russie a également accéléré ses tentatives de compromettre les entreprises informatiques afin de perturber ou d'obtenir des renseignements auprès des agences gouvernementales clientes de ces entreprises dans les pays membres de l'OTAN. 90*% des attaques russes que Microsoft a détectées au cours de l'année écoulée visaient des États membres de l'OTAN, et 48*% de ces attaques visaient des entreprises informatiques basées dans des pays de l'OTAN.


La Russie n'était pas la seule à associer l'agression politique et physique aux cyberattaques. Microsoft a noté que :

• les acteurs iraniens ont intensifié leurs attaques audacieuses à la suite d'une transition du pouvoir présidentiel. Ils ont lancé des attaques destructrices ciblant Israël, ainsi que des rançongiciels et des opérations de piratage au-delà des adversaires régionaux pour cibler des victimes américaines et européennes, y compris des cibles d'infrastructures critiques américaines comme les autorités portuaires. Dans au moins un cas, Microsoft a détecté une attaque déguisée en attaque de rançongiciel destinée à effacer les données israéliennes. Dans un autre, un acteur iranien a exécuté une attaque qui a déclenché des sirènes de roquettes d'urgence en Israël ;
• alors que la Corée du Nord entamait sa période d'essais de missiles la plus agressive au premier semestre 2022, l'un de ses acteurs a lancé une série d'attaques pour voler la technologie des entreprises aérospatiales et des chercheurs du monde entier. Un autre acteur nord-coréen s'est efforcé d'accéder aux organes de presse mondiaux qui font des reportages sur le pays et à des groupes chrétiens. Et pourtant, un troisième acteur a poursuivi ses tentatives, souvent sans succès, de s'introduire dans des entreprises de cryptomonnaie pour voler des fonds pour soutenir l'économie en difficulté du pays ;
• la Chine a intensifié ses cyberattaques d'espionnage et de vol d'informations alors qu'elle tentait d'exercer une plus grande influence régionale en Asie du Sud-Est et de contrer l'intérêt croissant des États-Unis. En février et mars, un acteur chinois a ciblé 100 comptes affiliés à une organisation intergouvernementale de premier plan en Asie du Sud-Est, au moment où l'organisation a annoncé une réunion entre le gouvernement américain et les dirigeants régionaux. Juste après que la Chine et les Îles Salomon ont signé un accord militaire, Microsoft a détecté un malware d'un acteur chinois sur les systèmes du gouvernement des Îles Salomon. La Chine a également utilisé ses cybercapacités dans des campagnes ciblant des pays du Sud, notamment la Namibie, Maurice et Trinité-et-Tobago, entre autres.

Le rapport sur la défense numérique 2022 de Microsoft, publié vendredi dernier, affirme que la loi chinoise « pourrait » permettre au gouvernement chinois de militariser les vulnérabilités.

« L'utilisation accrue des zero-days au cours de l'année dernière par des acteurs basés en Chine reflète probablement la première année complète des exigences de divulgation des vulnérabilités de la Chine pour la communauté de sécurité chinoise et une étape majeure dans l'utilisation des exploits zero-day en tant que priorité de l'État », a déclaré Microsoft.

La société a décrit les acteurs malveillants basés et soutenus en Chine comme « particulièrement compétents » lorsqu'il s'agit de découvrir et de développer des exploits zero-day.

Microsoft a répertorié plusieurs vulnérabilités qui, selon lui, ont d'abord été développées et déployées par des acteurs chinois avant d'être découvertes et adoptées par d'autres attaquants. Ces attaques incluent CVE-2021-35211 SolarWinds Serv-U, CVE-2021-40539 Zoho ManageEngine ADSelfService Plus, CVE-2021-44077 Zoho ManageEngine ServiceDesk Plus, CVE-2021-42321 Microsoft Exchange et CVE-2022-26134 Confluence.


Selon Microsoft, la Chine a intensifié ses cyberattaques d'espionnage et de vol d'informations afin de contrer les tentatives des États-Unis d'accroître leur influence en Asie du Sud-Est.

Microsoft a détaillé plusieurs exemples de grandes campagnes connues liées à divers acteurs de la menace parrainés par l'État chinois :

• le ciblage de 100 comptes affiliés à une importante organisation intergouvernementale d'Asie du Sud-Est par Gallium alors que l'organisation annonçait des réunions entre le gouvernement américain et les dirigeants régionaux ;
• le logiciel malveillant de Gadolinium sur les systèmes gouvernementaux des Îles Salomon et code malveillant de Radiumon dans les réseaux de télécommunications de Papouasie-Nouvelle-Guinée - tous deux probablement à des fins de collecte de renseignements alors que les Îles Salomon et la Chine ont conclu un accord militaire ;
• des campagnes ciblant les pays du Sud dans le cadre de son initiative Ceinture et Route, notamment la Namibie, Maurice et Trinité-et-Tobago, entre autres, alors même que la Chine considère des pays comme Trinité-et-Tobago comme des partenaires importants dans la région.

Le rapport de 114 pages détaille d'autres tactiques, telles que la participation de la Chine à des opérations de propagande étrangère, aux côtés de la Russie et de l'Iran.

Microsoft a attribué à la Russie l'augmentation du nombre de cyberattaques ciblant les infrastructures critiques de 20% de toutes les attaques d'États-nations qu'elle a détectées en 2021 à 40% en 2022, la plupart des attaques étant dues au fait que la Russie cible sans relâche l'Ukraine. L'Iran a également réagi à la détérioration des relations géopolitiques en lançant des campagnes contre les autorités portuaires américaines, en plus des attaques contre Israël et l'UE. Pendant ce temps, la Corée du Nord a continué à voler...