Des pirates informatiques parrainés par l’État en Chine compromettent l’autorité de certification

Getty Images

Des pirates informatiques d’États-nations basés en Chine ont récemment infecté une autorité de certification et plusieurs agences gouvernementales et de défense avec un puissant cocktail de logiciels malveillants pour creuser à l’intérieur d’un réseau et voler des informations sensibles, ont déclaré mardi des chercheurs.

La compromission réussie de l’autorité de certification sans nom est potentiellement grave, car ces entités sont approuvées par les navigateurs et les systèmes d’exploitation pour certifier les identités responsables d’un serveur ou d’une application particulière. Dans le cas où les pirates obtiendraient le contrôle de l’infrastructure de l’organisation, ils pourraient l’utiliser pour signer numériquement leurs logiciels malveillants afin qu’ils passent plus facilement les protections des terminaux. Ils peuvent également être en mesure de se faire passer pour des sites Web de confiance par chiffrement ou d’intercepter des données chiffrées.

Alors que les chercheurs qui ont découvert la brèche n’ont trouvé aucune preuve que l’infrastructure des certificats avait été compromise, ils ont déclaré que cette campagne n’était que la plus récente d’un groupe qu’ils appellent Billbug, qui a un historique documenté de piratages notables remontant à au moins 2009.

« La capacité de cet acteur à compromettre plusieurs victimes à la fois indique que ce groupe de menaces reste un opérateur qualifié et doté de ressources suffisantes, capable de mener des campagnes soutenues et de grande envergure », ont écrit les chercheurs de Symantec. « Billbug semble également ne pas être découragé par la possibilité de se voir attribuer cette activité, en réutilisant des outils qui ont été liés au groupe dans le passé. »

Symantec a documenté Billbug pour la première fois en 2018, lorsque les chercheurs de l’entreprise ont suivi le groupe sous le nom de Thrip. Le groupe a piraté plusieurs cibles, dont un opérateur de communications par satellite, une société d’imagerie et de cartographie géospatiales, trois opérateurs de télécommunications différents et un sous-traitant de la défense. Le piratage de l’opérateur de satellites était particulièrement préoccupant, car les attaquants « semblaient être particulièrement intéressés par le côté opérationnel de l’entreprise, recherchant et infectant des ordinateurs exécutant un logiciel qui surveille et contrôle les satellites ». Les chercheurs ont émis l’hypothèse que la motivation des pirates pourrait aller au-delà de l’espionnage pour inclure également la perturbation.

Les chercheurs ont finalement retracé l’activité de piratage à des ordinateurs physiquement situés en Chine. Outre l’Asie du Sud-Est, des cibles étaient également situées aux États-Unis.

Un peu plus d’un an plus tard, Symantec a recueilli de nouvelles informations qui ont permis aux chercheurs de déterminer que Thrip était effectivement le même qu’un groupe plus ancien connu sous le nom de Billbug ou Lotus Blossom. Au cours des 15 mois qui ont suivi le premier article, Billbug avait piraté avec succès 12 organisations à Hong Kong, Macao, Indonésie, Malaisie, Philippines et Vietnam. Les victimes comprenaient des cibles militaires, des communications maritimes, des médias et des secteurs de l’éducation.

Billbug a utilisé une combinaison de logiciels légitimes et de logiciels malveillants personnalisés pour s’infiltrer dans les réseaux de ses victimes. L’utilisation de logiciels légitimes tels que PsExec, PowerShell, Mimikatz, WinSCP et LogMeIn a permis aux activités de piratage de se fondre dans les opérations normales dans les environnements compromis. Les pirates ont également utilisé le voleur d’informations Catchamas personnalisé et des portes dérobées appelées Hannotog et Sagerunex.

Dans la campagne la plus récente ciblant l’autorité de certification et les autres organisations, Billbug était de retour avec Hannotog et Sagerunex, mais il a également utilisé une multitude de nouveaux logiciels légitimes, notamment AdFind, Winmail, WinRAR, Ping, Tracert, Route, NBTscan, Certutil et Analyseur de ports.

Le message de mardi comprend une foule de détails techniques que les gens peuvent utiliser pour déterminer s’ils ont été ciblés par Billbug. Symantec est la branche sécurité de Broadcom Software.

Source-147