Les chercheurs en sécurité de Mandiant affirment que des pirates informatiques soutenus par la Chine sont probablement à l’origine de l’exploitation massive d’une faille de sécurité récemment découverte dans l’équipement de sécurité des e-mails de Barracuda Networks, qui a incité les clients à retirer et remplacer les appareils concernés.
Mandiant, qui a été appelé pour gérer la réponse à l’incident de Barracuda, a déclaré que les pirates avaient exploité la faille pour compromettre des centaines d’organisations, probablement dans le cadre d’une campagne d’espionnage en soutien au gouvernement chinois.
Près d’un tiers des organisations ciblées sont des agences gouvernementales, a déclaré Mandiant dans un rapport publié jeudi.
Le mois dernier, Barracuda a découvert la faille de sécurité affectant ses appliances ESG (Email Security Gateway), qui se trouvent sur le réseau d’une entreprise et filtrent le trafic de messagerie pour le contenu malveillant. Barracuda a publié des correctifs et averti que les pirates exploitaient la faille depuis octobre 2022. Mais la société a ensuite recommandé aux clients de supprimer et de remplacer les appliances ESG concernées, quel que soit le niveau de correctif, suggérant que les correctifs ont échoué ou n’ont pas pu bloquer l’accès du pirate.
Dans ses dernières directives, Mandiant a également averti les clients de remplacer les équipements concernés après avoir trouvé des preuves que les pirates soutenus par la Chine avaient obtenu un accès plus approfondi aux réseaux des organisations concernées.
Barracuda compte environ 200 000 entreprises clientes dans le monde. Barracuda a déclaré dans un communiqué fourni par Emma Goulding, porte-parole de Barracuda via la société de relations publiques Highwire, qu’environ 5% des appareils ESG actifs dans le monde montraient des preuves de compromis au 10 juin.
Mandiant attribue les hacks à un groupe de menaces encore non catégorisé qu’il appelle UNC4841, qui partage l’infrastructure et les chevauchements de codes malveillants avec d’autres groupes de piratage soutenus par la Chine. Les chercheurs de Mandiant affirment que le groupe de menaces a exploité les failles de Barracuda ESG pour déployer des logiciels malveillants personnalisés, qui maintiennent l’accès des pirates aux appareils pendant qu’ils exfiltrent les données.
Selon son rapport, Mandiant a déclaré avoir trouvé des preuves que l’UNC4841 « recherchait des comptes de messagerie appartenant à des personnes travaillant pour un gouvernement ayant un intérêt politique ou stratégique à [China] en même temps que ce gouvernement victime participait à des réunions diplomatiques de haut niveau avec d’autres pays.
Étant donné qu’une grande partie des cibles étaient des entités gouvernementales, les chercheurs ont déclaré que cela corrobore leur évaluation selon laquelle le groupe de menaces a une motivation de collecte de renseignements, plutôt que de mener des attaques de données destructrices.
Le directeur de la technologie de Mandiant, Charles Carmakal, a déclaré que les piratages ciblant les clients de Barracuda sont la « campagne de cyberespionnage la plus large » connue pour être menée par un groupe de piratage soutenu par la Chine depuis l’exploitation massive des serveurs Microsoft Exchange en 2021, que Mandiant a également attribuée à la Chine.
Liu Pengyu, porte-parole de l’ambassade de Chine à Washington DC, a déclaré que les allégations selon lesquelles le gouvernement chinois soutient le piratage « déforment complètement la vérité ».
« La position du gouvernement chinois sur la cybersécurité est cohérente et claire. Nous nous sommes toujours fermement opposés et réprimés contre toutes les formes de cyberpiratage conformément à la loi », a déclaré le porte-parole, tout en accusant également le gouvernement américain de violer le droit international en menant des activités d’espionnage similaires, mais sans fournir de preuves à l’appui de ces allégations.
Mis à jour avec le commentaire de Barracuda.