La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié un nouveau conseil lundi à propos d’une vague de cyberattaques menées par des acteurs de l’État-nation chinois visant des agences gouvernementales américaines et des entités privées.
« CISA a observé le chinois [Ministry of State Security]- les acteurs de la cyber-menace affiliés opérant depuis la République populaire de Chine en utilisant des sources d’informations disponibles dans le commerce et des outils d’exploitation open source pour cibler les réseaux d’agences gouvernementales américaines « , a déclaré l’agence de cybersécurité.
Au cours des 12 derniers mois, les victimes ont été identifiées grâce à des sources telles que Shodan, les vulnérabilités communes et l’exposition (CVE) et la base de données nationale sur les vulnérabilités (NVD), exploitant la publication publique d’une vulnérabilité pour sélectionner des cibles vulnérables et promouvoir leurs motivations.
En compromettant des sites Web légitimes et en tirant parti des e-mails de spear-phishing avec des liens malveillants pointant vers des sites appartenant à des attaquants afin d’obtenir un accès initial, les acteurs chinois de la menace ont déployé des outils open source tels que Frappe au cobalt, Chine Chopper Web Shell, et Mimikatz voleur d’informations d’identification pour extraire les informations sensibles des systèmes infectés.
Ce n’est pas tout. Profitant du fait que les organisations n’atténuent pas rapidement les vulnérabilités logicielles connues, les attaquants parrainés par l’État «ciblent, analysent et sondent» les réseaux du gouvernement américain à la recherche de failles non corrigées dans l’interface utilisateur de gestion du trafic F5 Networks Big-IP (CVE-2020-5902), Citrix VPN (CVE-2019-19781), VPN Pulse Secure (CVE-2019-11510) et les serveurs Microsoft Exchange (CVE-2020-0688) pour compromettre les objectifs.
«Les cyber-acteurs continuent également d’identifier de vastes référentiels d’informations d’identification disponibles sur Internet pour permettre des attaques par force brute», a déclaré l’agence. « Bien que ce type d’activité ne soit pas le résultat direct de l’exploitation des vulnérabilités émergentes, il démontre que les acteurs de la cyber-menace peuvent utiliser efficacement les informations open source disponibles pour atteindre leurs objectifs. »
Ce n’est pas la première fois que des acteurs chinois travaillent pour le compte du MSS chinois pour infiltrer diverses industries aux États-Unis et dans d’autres pays.
En juillet, le département américain de la Justice (DoJ) a inculpé deux ressortissants chinois pour leur implication présumée dans une folie de piratage informatique couvrant les secteurs de la fabrication de haute technologie, de l’ingénierie industrielle, de la défense, de l’éducation, des logiciels de jeu et de la pharmacie dans le but de voler le commerce. secrets et informations commerciales confidentielles.
Mais ce n’est pas seulement la Chine. Plus tôt cette année, la société de sécurité israélienne ClearSky a découvert une campagne de cyberespionnage baptisée « Fox Kitten » qui ciblait les sociétés gouvernementales, aéronautiques, pétrolières et gazières et de sécurité en exploitant des vulnérabilités VPN non corrigées pour pénétrer et voler des informations aux entreprises cibles, ce qui a incité CISA à émettre des mesures de sécurité multiples. alertes exhortant les entreprises à sécuriser leurs environnements VPN.
Déclarant que les acteurs sophistiqués des cybermenaces continueront d’utiliser des ressources et des outils open source pour identifier les réseaux à faible niveau de sécurité, CISA a recommandé aux organisations de corriger vulnérabilités régulièrement exploitéeset «auditer leurs programmes de configuration et de gestion des correctifs pour s’assurer qu’ils peuvent suivre et atténuer les menaces émergentes».
