Site icon Sophos News

Pacific Rim : immersion dans une contre-offensive (TTP utilisées pour neutraliser les menaces basées en Chine)

  • Sophos X-Ops and Ross McKerchar
    • Pacific rim

    Résumé

    Depuis plus de cinq ans, Sophos enquête sur plusieurs groupes basés en Chine et ciblant les pare-feu Sophos, avec des botnets, de nouveaux exploits et des malwares sur mesure.

    Avec l’aide d’autres éditeurs de cybersécurité, de gouvernements et d’organismes chargés de l’application de la loi, nous avons pu, avec différents niveaux de confiance, associer des groupes spécifiques au niveau d’activités observées à Volt Typhoon, APT31 et APT41/Winnti.

    Sophos X-Ops a identifié, avec un niveau de confiance élevé, les activités de recherche et développement menées dans la région du Sichuan.  Conformément à la législation chinoise sur la divulgation des vulnérabilités, X-Ops a évalué, avec un degré de confiance élevé, que les exploits développés ont ensuite été partagés avec plusieurs groupes de première ligne, sponsorisés par l’État avec des objectifs, des capacités et des outils post-exploitation différents.

    Au cours de la période d’observation, Sophos a identifié trois comportements clés en matière d’évolution des attaquants :

    En réponse aux appels du NCSC-UK (tel qu’exposé par Ollie Whitehouse, Chief Technology Officer du NCSC-UK) et de la CISA (dans l’article sur les bonnes pratiques intitulé Secure-By-Design et publié par l’agence), notre objectif est de mettre en évidence de manière transparente l’ampleur et l’exploitation généralisée des appareils réseau Edge par des adversaires sponsorisés par l’État.

    Dans l’intérêt de notre résilience collective, nous encourageons d’autres éditeurs à suivre notre exemple.

    Sommaire

    Principaux points à retenir pour les défenseurs

    Les périphériques réseau Edge sont des cibles à forte valeur que les adversaires, disposant de ressources suffisantes, utilisent à la fois pour l’accès initial et la persistance.

    Les stratégies de détection et de réponse des défenseurs doivent en tenir compte. Pour aider les défenseurs, Sophos propose :

    Les attaquants sponsorisés par l’État utilisent à la fois des vulnérabilités Zero-Day et des vulnérabilités connues pour attaquer les appareils Edge.

    Ce ciblage n’est pas propre aux pare-feu Sophos : comme en témoignent les CVE publiées, tous les appareils Edge sont une cible potentielle.

    Le ciblage sponsorisé par l’État ne se limite pas aux cibles d’espionnage à forte valeur.

    Timing récapitulatif

    Une timing complet de l’activité décrite dans ce rapport de synthèse est disponible dans l’annexe technique à cet article.  Des liens vers les parties pertinentes de ce timing sont fournis pour chacune des sections ci-dessous afin de fournir un contexte détaillé.

    Figure 1 : Timing récapitulant les activités de Pacific Rim, de décembre 2018 à avril 2020

    Figure 2 : de juin à juillet 2020

    Figure 3 : d’août 2020 à mars 2022

    Figure 4 : de mars 2022 à août 2022

    Figure 5 : de septembre 2022 à novembre 2023.

    Intrusion initiale et reconnaissance

    La première attaque n’a pas été lancée contre un périphérique réseau, mais était la seule attaque documentée contre un site Sophos : le siège de Cyberoam, une filiale Sophos basée en Inde. Le 4 décembre 2018, les analystes de l’équipe Sophos SecOps ont détecté cet appareil effectuant des analyses du réseau. Un cheval de Troie d’accès à distance (RAT : Remote Access Trojan) a été identifié sur un ordinateur à faible privilège utilisé pour piloter un écran vidéo mural dans les bureaux de Cyberoam.

    Même si une première investigation a révélé la présence d’un malware suggérant un acteur relativement peu sophistiqué, des détails supplémentaires ont modifié cette évaluation. L’intrusion comprenait un rootkit inédit, volumineux et complexe que nous avons surnommé Cloud Snooper, ainsi qu’une nouvelle technique permettant de pivoter vers l’infrastructure Cloud en exploitant Amazon Web Services Systems Manager Agent (SSM Agent) mal configuré.

    Si nous avions publié une analyse de l’intrusion avec quelques détails en 2020, nous n’avions pas à l’époque attribué l’origine de l’attaque.

    Nous estimons désormais avec une grande confiance qu’il s’agissait d’un premier effort chinois visant à collecter des renseignements susceptibles de contribuer au développement de malwares ciblant les périphériques réseau.

    Attaques de masse

    À partir du début de l’année 2020 et pendant une grande partie de l’année 2022, les adversaires ont déployé des efforts et des ressources considérables pour s’engager dans plusieurs campagnes visant à découvrir puis à cibler les appareils réseau accessibles publiquement. Avec une cadence d’attaque rapide, l’adversaire a exploité une série de vulnérabilités jusqu’alors inconnues qu’il avait découvertes, puis rendues opérationnelles, ciblant les services exploitant le WAN. Ces exploits ont permis à l’adversaire de récupérer des informations stockées sur l’appareil, tout en lui donnant la possibilité de transmettre des charges virales à l’intérieur du firmware de l’appareil et, dans certains cas, aux appareils du côté LAN (interne au réseau de l’organisation) de l’appareil.

    Sophos a pris conscience de ces types d’attaques bruyantes peu après leur début. Lorsqu’elles ont été découvertes, Sophos a choisi de rendre la divulgation aussi large et publique que possible, comme en témoignent la série d’articles de blog de X-Ops, de présentations et de conférences basées sur notre analyse et notre travail pour contrer chacune de ces menaces. Par exemple, le rapport sur la première vague d’avril 2020 (que nous avons baptisée Asnarök) a été publié moins d’une semaine après le début des attaques généralisées et a été mis à jour au fur et à mesure que l’acteur malveillant modifiait le flux des attaques.

    Sophos a également mené des actions de sensibilisation auprès des organisations qui ne sont plus abonnées aux mises à jour mais maintiennent toujours des appareils opérationnels (et vulnérables) dans leurs réseaux, pour les avertir des risques d’attaques potentielles via des botnets automatiques visant leurs appareils publics.

    Dans deux des attaques (Asnarök et une attaque ultérieure baptisée “Personal Panda“), X-Ops a découvert des liens entre les chercheurs bug bounty révélant de manière responsable les vulnérabilités et les groupes d’adversaires analysés dans ce rapport.  X-Ops a évalué, avec un niveau de confiance moyen, l’existence d’une communauté de recherche centrée autour des établissements d’enseignement de Chengdu. On pense que cette communauté collabore à des recherches sur les vulnérabilités et partage ses résultats avec des éditeurs et des entités associés au gouvernement chinois, notamment des sous-traitants menant des opérations offensives au nom de l’État. Cependant, l’ampleur et la nature de ces activités n’ont pas été vérifiées de manière concluante.

    Un timing des attaques de masse contre les appareils est disponible dans le timing détaillé.

    Passage à la furtivité

    Au milieu de l’année 2022, l’attaquant a changé de tactique pour lancer des attaques très ciblées et visant étroitement des entités spécifiques : agences gouvernementales ; groupes de gestion des infrastructures critiques ; organismes de recherche et développement; prestataires de santé ; entreprises du secteur retail, de la finance et liées à l’armée ; et enfin des organisations du secteur public. Ces attaques, utilisant diverses TTP, étaient moins motivées par l’automatisation que par un style de type “adversaire actif”, dans lequel les acteurs exécutaient manuellement des commandes et utilisaient des malwares sur les appareils compromis.

    Diverses techniques de persistance furtive ont été développées et utilisées tout au long de ces attaques, notamment :

    Alors que l’exploitation des CVE connues (celles répertoriées ci-dessus) était le vecteur d’accès initial le plus couramment utilisé pour déployer ce qui précède, X-Ops a également observé des cas d’accès initial utilisant des identifiants administratifs valides du côté LAN de l’appareil, suggérant l’utilisation d’appareils périmétriques pour la persistance et l’accès à distance après avoir obtenu l’accès initial au réseau via d’autres moyens.

    Améliorations de l’OPSEC

    Tout au long de ces campagnes, les acteurs sont devenus de plus en plus habiles pour cacher leurs activités en évitant une découverte immédiate et en empêchant donc l’envoi de télémétrie depuis les appareils vers Sophos.

    Dès avril 2020, les attaquants se sont efforcés de saboter le mécanisme hotfix des appareils qu’ils avaient compromis. Plus tard, ils ont ajouté le ciblage du système de télémétrie des appareils pour empêcher Sophos de recevoir une alerte précoce de leur activité.

    Les acteurs ont également découvert et bloqué la collecte de données télémétriques sur leurs propres appareils de test après l’utilisation par Sophos X-Ops de cette capacité pour collecter des données sur les exploits pendant leur développement.

    De plus, les pratiques de sécurité opérationnelle des développeurs d’exploits se sont améliorées au fil du temps. X-Ops a vu la trace des données que nous pouvions suivre, grâce aux pratiques en matière de renseignement open source, diminuer considérablement par rapport aux attaques précédentes.

    Conclusions

    Les acteurs malveillants mènent ces attaques persistantes depuis plus de cinq ans. Cet aperçu des coulisses de nos investigations passées (et en cours) concernant ces attaques est une initiative que nous avons l’intention de continuer au fil du temps, à condition qu’elle n’interfère pas ou ne compromette pas les enquêtes des forces de l’ordre en cours.

    Les adversaires semblent être dotés de ressources suffisantes, être patients, créatifs et exceptionnellement bien informés sur l’architecture interne du firmware de l’appareil. Les attaques mises en évidence dans cette étude démontrent un niveau d’engagement dans des activités malveillantes que nous avons rarement vu au cours des près de 40 années d’existence de Sophos en tant qu’entreprise.

    Sophos X-Ops est heureux de collaborer avec d’autres et de partager des IOC détaillés supplémentaires au cas par cas. Contactez-nous via pacific_rim[@]sophos.com.

    Pour découvrir l’histoire complète, veuillez consulter la page dédiée suivante : Sophos Pacific Rim: Sophos defensive and counter-offensive operation with nation-state adversaries in China.

    Remerciements

    Sophos souhaite remercier les contributions de l’ANSSI, Bugcrowd, CERT-In, CISA, Cisco Talos, Digital Shadows (qui fait désormais partie de Reliaquest), FBI, Fortinet, JCDC, Mandiant, Microsoft, NCA, NHCTU, NCSC-NL, NCSC- UK, NSA, Palo Alto Networks, Recorded Future, Secureworks et Volexity à ce rapport ou aux investigations présentées dans ce rapport.

    Billet inspiré de Pacific Rim: Inside the Counter-Offensive—The TTPs Used to Neutralize China-Based Threats, sur le Blog Sophos.

    Exit mobile version