Il ne se passe pratiquement pas une semaine sans qu’il y ait un reportage sur des cyberespions chinois parrainés par l’État qui pénètrent dans des entreprises du Fortune 500 pour voler de la propriété intellectuelle, des données personnelles et d’autres actifs inestimables. Maintenant, les chercheurs disent avoir découvert des preuves que certains des mêmes pirates chinois ont également vendu l’accès à des ordinateurs compromis au sein de ces entreprises pour aider à perpétrer de futures violations.
Le soi-disant « Grand pare-feu de Chine » est un effort du gouvernement chinois pour empêcher les citoyens d’accéder à des contenus et sites Web spécifiques que le gouvernement a jugés répréhensibles. Par conséquent, de nombreux Chinois cherchent à échapper à cette censure en se tournant vers des réseaux privés virtuels ou des services « VPN » qui permettent aux utilisateurs de tunnelliser leurs connexions Internet vers des endroits échappant au contrôle du Grand Pare-feu.
Experts en sécurité chez Recherche RSAh disent avoir identifié un archipel de services de réseau privé virtuel (VPN) en langue chinoise commercialisés auprès des joueurs en ligne chinois et de ceux qui souhaitent échapper à la censure, mais qui semblent également être utilisés comme une plate-forme active pour lancer des attaques contre des sociétés non chinoises tout en masquant les origines des agresseurs.
Surnommé par RSA « Terracotta VPN » (une référence au Armée chinoise de terre cuite), cette gamme satellite de services VPN « pourrait représenter la première exposition d’une opération VPN basée sur la RPC qui recrute de manière malveillante, efficace et rapide des serveurs vulnérables dans le monde entier », a déclaré la société dans un rapport publié aujourd’hui.
Le groupe de hackers censé utiliser Terracotta pour lancer et masquer des attaques est connu sous un certain nombre de noms de code, notamment « Shell_Crew » et « Deep Panda ». Les experts en sécurité ont lié ce gang d’espionnage chinois à certaines des plus grandes violations de données de l’histoire des États-Unis, notamment la récente attaque contre le Bureau américain de la gestion du personnel, ainsi que les violations des assureurs médicaux américains Anthem et Premera.
Selon RSA, Terracotta VPN compte plus de 1 500 nœuds dans le monde où les utilisateurs peuvent apparaître sur Internet. Bon nombre de ces emplacements semblent n’être guère plus que des serveurs chez des fournisseurs de services Internet aux États-Unis, en Corée, au Japon et ailleurs qui offrent des services bon marché serveurs privés virtuels.
Mais les chercheurs de RSA ont déclaré avoir découvert que de nombreux nœuds de sortie de Terracotta étaient des serveurs Windows compromis qui avaient été « récupérés » à l’insu ou sans l’autorisation des victimes, y compris les systèmes d’une chaîne d’hôtels Fortune 500 ; un fabricant de haute technologie ; Un cabinet d’avocats; un cabinet médical; et un gouvernement de comté d’un État américain.
Le rapport passe en revue une analyse médico-légale que RSA a menée sur l’un des systèmes VPN compromis, en suivant chaque étape franchie par les intrus pour pénétrer dans le serveur et finalement inscrire le système dans le cadre du réseau VPN Terracotta.
« Tous les systèmes compromis, confirmés par la communication des victimes par RSA Research, sont des serveurs Windows », a écrit la société. « RSA Research soupçonne que Terracotta cible les serveurs Windows vulnérables car cette plate-forme inclut des services VPN qui peuvent être configurés rapidement (en quelques secondes). »
RSA affirme que des acteurs présumés de l’État-nation ont exploité au moins 52 nœuds VPN Terracotta pour exploiter des cibles sensibles parmi les gouvernements occidentaux et les organisations commerciales. La société a déclaré avoir reçu un rapport spécifique d’un grand entrepreneur de la défense concernant 27 adresses Internet de nœuds VPN Terracotta différentes qui ont été utilisées pour envoyer des e-mails de phishing ciblant les utilisateurs de leur organisation.
« Sur les treize adresses IP différentes utilisées au cours de cette campagne contre cette cible (APT), onze (85%) étaient associées à des nœuds VPN Terracotta », a écrit RSA à propos d’une campagne de cyberespionnage sur laquelle elle a enquêté. « Peut-être que l’un des avantages de l’utilisation de Terracotta pour Advanced Threat Actors est que leur trafic réseau lié à l’espionnage peut se fondre dans le trafic VPN » autrement légitime « . »
CREUSER PLUS PROFOND
Le rapport de RSA comprend une seule capture d’écran d’un logiciel utilisé par l’un des services VPN commerciaux commercialisés sur des sites chinois et lié au réseau Terracotta, mais pour moi, ce n’était qu’une allumette : je voulais regarder de plus près ce réseau, mais RSA (ou plus probablement, les avocats de la société) ont soigneusement omis dans son rapport toute information qui permettrait de localiser facilement les sites vendant ou proposant le VPN Terracotta.
RSA a déclaré que les sites Web annonçant les services VPN sont commercialisés sur des sites Web en langue chinoise qui sont pour la plupart liés par des adresses e-mail communes de titulaires de noms de domaine et sont souvent hébergés sur la même infrastructure avec le même contenu Web de base. Dans le même ordre d’idées, la société a inclus une information très utile dans son rapport : une section conçue pour aider les entreprises à détecter les serveurs susceptibles d’être compromis avertissait que tout serveur Web vu téléphoner à 8800gratuit[dot]Info doit être considéré comme piraté.
Une recherche sur Domaintools.com pour les enregistrements d’enregistrement historiques sur 8800free[dot]info montrent qu’il a été enregistré à l’origine en 2010 à quelqu’un utilisant l’adresse e-mail « [email protected].” Parmi les neuf autres domaines enregistrés sur [email protected] se trouve 517jiasu[dot]CN, dont une version archivée est disponible ici.
Domaintools montre qu’en 2013, le record d’enregistrement pour 8800free[dot]les informations ont été modifiées pour inclure l’adresse e-mail « [email protected].” Heureusement, cet e-mail était utilisé pour enregistrer au moins 39 autres sites, dont un bon nombre qui font ou faisaient à un moment donné la publicité de services VPN d’apparence similaire.
En faisant pivoter les enregistrements d’enregistrement historiques pour bon nombre de ces sites, on obtient une longue liste de sites VPN enregistrés sur d’autres adresses e-mail intéressantes, notamment « [email protected] », « [email protected] » et « [email protected] ». (cliquez sur les adresses e-mail pour obtenir une liste des domaines enregistrés pour chacun).
Armé de listes de dizaines de sites VPN, il n’a pas été difficile de trouver plusieurs sites proposant différents clients VPN à télécharger. J’ai installé chacun sur une machine virtuelle soigneusement isolée (n’essayez pas ça à la maison, les enfants !). Voici un de ces sites :
Au total, j’ai réussi à télécharger, installer et utiliser au moins trois clients VPN à partir de domaines de service VPN liés aux adresses e-mail mentionnées ci-dessus. Les clients de langue chinoise étaient remarquablement similaires dans leur apparence générale et leur fonction, et répertorient les nœuds de sortie via des onglets pour plusieurs pays, dont le Canada, le Japon, la Corée du Sud et les États-Unis, entre autres. Voici l’un des clients VPN avec lequel j’ai joué dans la recherche de cette histoire :
Celui-ci était beaucoup plus difficile à utiliser et plantait à plusieurs reprises lorsque j’ai essayé de le prendre pour la première fois pour un essai routier :
Aucun des clients VPN que j’ai essayés ne répertorie les adresses Internet des nœuds individuels. Cependant, chaque nœud du réseau peut être découvert simplement en exécutant un certain type d’outil de surveillance du trafic réseau en arrière-plan (j’ai utilisé Wireshark), et en enregistrant l’adresse qui fait l’objet d’un ping lorsque l’on clique sur une nouvelle connexion.
RSA a déclaré avoir trouvé plus de 500 serveurs Terracotta basés aux États-Unis, mais j’ai dû m’amuser après que la société ait commencé à informer les organisations de victimes, car je n’ai trouvé que quelques dizaines d’hôtes basés aux États-Unis dans l’un des clients VPN que j’ai vérifiés. Et la plupart de ceux que j’ai trouvés et qui étaient basés aux États-Unis semblaient être des serveurs privés virtuels dans une poignée de sociétés d’hébergement.
La seule exception que j’ai trouvée était un nœud VPN lié à un serveur Windows dédié pour le site Web d’une entreprise du Michigan qui fabrique des chaises sur mesure pour les bureaux, les salons et les salles de réunion. Contactée par BreachTrace, la société a confirmé que son service était infecté et qu’il abritait les serveurs de contrôle décrits dans le rapport RSA.
En plus des hôtes basés aux États-Unis, j’ai réussi à parcourir un grand nombre de systèmes basés en Corée du Sud. Je n’ai pas eu le temps de parcourir chaque enregistrement pour voir si l’un des nœuds de sortie coréens était intéressant, mais voici la liste que j’ai dressée au cas où quelqu’un serait intéressé. Je n’ai tout simplement pas eu le temps de regarder et de rechercher le reste des clients dans ce que RSA appelle le réseau Terracotta. Voici une liste plus simplifiée des seuls noms d’organisation attachés à chaque enregistrement.
En supposant que les recherches de RSA soient exactes (et je n’ai aucune raison de douter que ce ne soit pas le cas), l’idée que des pirates vendent l’accès à des PC piratés pour l’anonymat et la furtivité en ligne n’est pas nouvelle. En septembre 2011, j’ai écrit sur la façon dont les cybercriminels russes responsables de la construction du tristement célèbre botnet TDSS vendaient l’accès à des ordinateurs infectés par le logiciel malveillant via un service proxy appelé AWMProxy, permettant même aux clients de payer l’accès avec PayPal, Visa et MasterCard.
Après tout, il est extrêmement courant que des pirates malveillants utilisent des systèmes qu’ils ont piratés pour perpétrer de futurs cybercrimes, en particulier des attaques d’espionnage. Une carte classée des États-Unis obtenu par NBC la semaine dernière montrant les victimes du cyberespionnage chinois au cours des cinq dernières années s’allume comme autant de nœuds de sortie dans un réseau VPN.
Mise à jour, 14 h 34 HE : Mise à jour de l’histoire pour noter que j’ai eu des nouvelles de la victime de l’entreprise de meubles nommée dans l’histoire, et que l’entreprise a pu confirmer une violation de ses serveurs par ce service VPN.