Dans la guerre de 5 ans d’un fournisseur de pare-feu contre les pirates chinois qui détournent ses appareils

Dans la guerre de 5 ans d’un fournisseur de pare-feu contre les pirates chinois qui détournent ses appareils


Depuis des années, c’est une vérité gênante au sein du secteur de la cybersécurité que les dispositifs de sécurité réseau vendus pour protéger les clients contre les espions et les cybercriminels sont souvent eux-mêmes les machines que les intrus piratent pour accéder à leurs cibles. À maintes reprises, les vulnérabilités des dispositifs « périmétriques » tels que les pare-feu et les appareils VPN sont devenues des points d’appui pour des pirates informatiques sophistiqués qui tentent de s’introduire dans les systèmes mêmes que ces appareils ont été conçus pour protéger.

Aujourd’hui, un fournisseur de cybersécurité révèle avec quelle intensité – et pendant combien de temps – il a lutté contre un groupe de pirates informatiques qui cherchaient à exploiter ses produits à leur propre avantage. Pendant plus de cinq ans, la société britannique de cybersécurité Sophos s’est livrée à un jeu du chat et de la souris avec une équipe d’adversaires peu connectés qui ciblait ses pare-feu. L’entreprise est allée jusqu’à localiser et surveiller les appareils spécifiques sur lesquels les pirates testaient leurs techniques d’intrusion, à surveiller les pirates au travail et, finalement, à retracer cet effort d’exploitation ciblé de plusieurs années jusqu’à un réseau unique de chercheurs en vulnérabilité à Chengdu. , Chine.

Jeudi, Sophos a relaté cette guerre d’une demi-décennie avec ces pirates informatiques chinois dans un rapport qui détaille l’escalade de ses représailles. L’entreprise est allée jusqu’à installer discrètement ses propres « implants » sur les appareils Sophos des pirates chinois pour surveiller et anticiper leurs tentatives d’exploitation de ses pare-feu. Les chercheurs de Sophos ont même finalement obtenu des machines de test des pirates un spécimen de malware « bootkit » conçu pour se cacher de manière indétectable dans le code de bas niveau des pare-feu utilisé pour démarrer les appareils, une astuce qui n’a jamais été vue dans la nature.

Dans le processus, les analystes de Sophos ont identifié une série de campagnes de piratage qui avaient commencé par une exploitation massive et aveugle de ses produits, mais qui sont finalement devenues plus furtives et ciblées, frappant des fournisseurs et des régulateurs d’énergie nucléaire, des cibles militaires, notamment un hôpital militaire, des télécommunications, le gouvernement et les agences de renseignement. , et l’aéroport d’une capitale nationale. Alors que la plupart des cibles – que Sophos a refusé d’identifier plus en détail – se trouvaient en Asie du Sud et du Sud-Est, un plus petit nombre se trouvait en Europe, au Moyen-Orient et aux États-Unis.

Le rapport de Sophos relie ces multiples campagnes de piratage (avec différents niveaux de confiance) à des groupes de piratage parrainés par l’État chinois, notamment ceux connus sous les noms d’APT41, APT31 et Volt Typhoon, ce dernier étant une équipe particulièrement agressive qui cherchait à perturber les attaques. infrastructures critiques aux États-Unis, y compris les réseaux électriques. Mais le fil conducteur de ces efforts visant à pirater les appareils de Sophos, affirme la société, n’est pas l’un de ces groupes de pirates informatiques précédemment identifiés, mais plutôt un réseau plus large de chercheurs qui semblent avoir développé des techniques de piratage et les ont fournies au gouvernement chinois. Les analystes de Sophos associent ce développement à un institut universitaire et à un entrepreneur, tous deux situés autour de Chengdu : Sichuan Silence Information Technology – une entreprise précédemment liée par Meta aux efforts de désinformation menés par l’État chinois – et l’Université des sciences et technologies électroniques de Chine.

Sophos affirme qu’elle raconte cette histoire maintenant non seulement pour partager un aperçu du pipeline chinois de recherche et de développement en matière de piratage informatique, mais également pour briser le silence gênant de l’industrie de la cybersécurité autour de la question plus large des vulnérabilités des appareils de sécurité servant de points d’entrée aux pirates informatiques. Au cours de l’année écoulée, par exemple, des failles dans des produits de sécurité d’autres fournisseurs, notamment Ivanti, Fortinet, Cisco et Palo Alto, ont toutes été exploitées dans le cadre de piratages massifs ou de campagnes d’intrusion ciblées. « Cela devient un peu un secret de polichinelle. Les gens comprennent ce qui se passe, mais malheureusement tout le monde fermeture éclair,» déclare Ross McKerchar, responsable de la sécurité des informations chez Sophos, en mimant une fermeture éclair sur ses lèvres. “Nous adoptons une approche différente, en essayant d’être très transparents, pour aborder ce problème de front et affronter notre adversaire sur le champ de bataille.”

D’un écran piraté à des vagues d’intrusion massive

Comme le raconte Sophos, la longue bataille de l’entreprise contre les pirates chinois a commencé en 2018 avec une violation de Sophos elle-même. La société a découvert une infection par un logiciel malveillant sur un ordinateur exécutant un écran d’affichage dans le bureau d’Ahmedabad de sa filiale Cyberoam basée en Inde. Le malware avait attiré l’attention de Sophos en raison de son analyse bruyante du réseau. Mais lorsque les analystes de l’entreprise ont regardé de plus près, ils ont découvert que les pirates informatiques à l’origine de cette opération avaient déjà compromis d’autres machines du réseau Cyberoam avec un rootkit plus sophistiqué qu’ils ont identifié comme CloudSnooper. Rétrospectivement, l’entreprise estime que l’intrusion initiale avait pour but d’obtenir des informations sur les produits Sophos qui permettraient de poursuivre les attaques contre ses clients.

Puis, au printemps 2020, Sophos a commencé à prendre connaissance d’une vaste campagne d’infections aveugles de dizaines de milliers de pare-feu à travers le monde dans le but apparent d’installer un cheval de Troie appelé Asnarök et de créer ce qu’elle appelle des « boîtes de relais opérationnelles » ou ORB. il s’agit essentiellement d’un botnet de machines compromises que les pirates pourraient utiliser comme points de lancement pour d’autres opérations. La campagne était étonnamment bien financée, exploitant plusieurs vulnérabilités zero-day que les pirates semblaient avoir découvertes dans les appliances Sophos. Seul un bug dans les tentatives de nettoyage du malware sur une petite fraction des machines affectées a permis à Sophos d’analyser les intrusions et de commencer à étudier les pirates ciblant ses produits.



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *