VCG

Le 18 décembre 2024, l’équipe technique nationale chinoise d’intervention d’urgence sur le réseau informatique (CNCERT) a publié un avis concernant la découverte et la gestion de deux cyberattaques par les États-Unis visant une grande entreprise technologique chinoise.

Le CNCERT a publié vendredi un rapport concernant les attaques. Voici les détails :

1. Exploiter les vulnérabilités pour l’intrusion

Le 19 août 2024, des attaquants ont exploité une vulnérabilité du système de gestion électronique de documents de l’entreprise pour obtenir un accès non autorisé et voler les informations de compte/mot de passe de l’administrateur système. Le 21 août 2024, les attaquants ont utilisé les informations d’identification d’administrateur volées pour se connecter au backend du système compromis.

2. Serveur de gestion des mises à niveau logicielles compromis par des programmes de portes dérobées et de chevaux de Troie

Le 21 août 2024 à midi, les attaquants ont déployé un programme de porte dérobée et un cheval de Troie personnalisé sur le système de gestion électronique de documents pour collecter des données volées. Pour échapper à la détection, ces programmes malveillants n’étaient actifs qu’en mémoire et n’étaient pas stockés sur le disque dur. Le programme cheval de Troie était utilisé pour recevoir des fichiers sensibles volés sur des ordinateurs personnels compromis au sein de l’organisation concernée, le chemin d’accès étant /xxx/xxxx?flag=syn_user_policy. Le programme de porte dérobée a été utilisé pour regrouper et transmettre les fichiers sensibles volés à l’étranger, avec le chemin d’accès /xxx/xxxStats.

3. Les infections par chevaux de Troie se propagent aux ordinateurs personnels

Les 6, 8 et 16 novembre 2024, les attaquants ont exploité une fonction de mise à niveau logicielle du serveur de documents électroniques pour implanter des chevaux de Troie spéciaux dans 276 ordinateurs personnels de l’entreprise. Les principales fonctions des programmes chevaux de Troie étaient d’analyser les machines infectées à la recherche de fichiers sensibles afin de voler et de dérober les identifiants de connexion et d’autres informations personnelles. Les programmes chevaux de Troie ont été conçus pour être supprimés immédiatement après utilisation.

1. Analyse complète des machines hôtes de l’entreprise victime

Les attaquants se sont connectés à plusieurs reprises au serveur de gestion des mises à niveau logicielles via des proxys IP basés en Chine et ont utilisé ce serveur pour infiltrer le réseau interne de l’entreprise victime. Ils ont effectué des analyses complètes du disque sur les hôtes du réseau interne de l’entreprise, identifiant des cibles potentielles et collectant des informations sur le contenu du travail de l’entreprise.

2. Vol ciblé et spécifique

Du 6 au 16 novembre 2024, les attaquants ont utilisé trois adresses IP proxy différentes pour infiltrer le serveur de gestion des mises à niveau logicielles et implanter des chevaux de Troie sur des ordinateurs personnels. Ces chevaux de Troie étaient préprogrammés avec des mots-clés spécifiques très pertinents pour le travail de l’entreprise. Une fois les fichiers contenant ces mots-clés trouvés, les fichiers correspondants ont été volés et transmis à l’étranger. Les trois cas d’espionnage impliquaient différents ensembles de mots-clés, indiquant que les attaquants s’étaient soigneusement préparés avant chaque attaque, démontrant un haut niveau de spécificité. Au total, 4,98 Go d’informations commerciales critiques et de fichiers de propriété intellectuelle ont été volés lors de ces trois incidents d’espionnage.

1. Chronométrage de l’attaque

L’analyse montre que la majorité des attaques ont eu lieu entre 22 heures et 8 heures, heure de Pékin, ce qui correspond à 10 heures et 20 heures, heure normale de l’Est aux États-Unis. Les attaques ont eu lieu principalement du lundi au vendredi et n’ont pas eu lieu pendant les grandes vacances américaines.

2. Ressources d’attaque

Les cinq adresses IP proxy utilisées par les attaquants étaient toutes situées en Allemagne, en Roumanie et dans d’autres régions, ce qui reflète un haut niveau de connaissance de la contre-criminalité et une riche réserve de ressources d’attaque.

3. Outils d’attaque

Les attaquants ont habilement utilisé des outils open source ou génériques pour dissimuler leurs activités et éviter d’être détectés. Le programme de porte dérobée trouvé sur les serveurs compromis était un outil de porte dérobée open source largement utilisé.

Les programmes critiques de porte dérobée et de cheval de Troie fonctionnaient uniquement en mémoire et n’étaient pas stockés sur le disque dur, ce qui augmentait considérablement la difficulté de détection de l’attaque lors de l’analyse.

4. Techniques d’attaque

Après avoir compromis le système de gestion électronique des documents, les attaquants ont falsifié le programme de distribution client du système. Grâce à la fonction de mise à niveau du logiciel client, ils ont distribué des programmes chevaux de Troie sur 276 ordinateurs personnels, permettant ainsi des attaques rapides et ciblées contre les utilisateurs clés et facilitant la collecte et le vol d’informations à grande échelle. Ces techniques démontrent les formidables capacités de l’organisation attaquante.

via la GMA

La liste montre les adresses IP proxy des Pays-Bas, de Roumanie et d’Allemagne.

Mei-Ling Chen
Mei-Ling Chen

Mei-Ling Tan est une journaliste passionnée par l'Asie depuis plus de dix ans. Ayant grandi entre la France et Singapour, elle a développé une profonde compréhension des cultures et des dynamiques politiques du continent asiatique. Elle met aujourd'hui son expertise au service d'EurasiaTimes pour vous offrir des analyses pointues et des reportages de terrain.