Un groupe de cyberespionnage chinois a violé le ministère néerlandais de la Défense l’année dernière et déployé des logiciels malveillants sur des appareils compromis, selon le Service de renseignement et de sécurité militaire (MIVD) des Pays-Bas.

Cependant, malgré le backdooring des systèmes piratés, les dommages causés par la violation ont été limités en raison de la segmentation du réseau.

« Les effets de l’intrusion ont été limités car le réseau des victimes était segmenté des réseaux plus larges du MOD », ont déclaré le MIVD et le Service général de renseignement et de sécurité (AIVD) dans un rapport conjoint.

« Le réseau de victimes comptait moins de 50 utilisateurs. Son objectif était la recherche et le développement (R&D) de projets non classifiés et la collaboration avec deux instituts de recherche tiers. Ces organisations ont été informées de l’incident. »

Les logiciels malveillants RAT survivent aux mises à niveau du micrologiciel
Au cours de l’enquête de suivi, une souche de malware inconnue auparavant nommée Coathanger, un cheval de Troie d’accès à distance (RAT) conçu pour infecter les appliances de sécurité réseau Fortigate, a également été découverte sur le réseau piraté.

« Notamment, l’implant COATHANGER est persistant, récupérant après chaque redémarrage en injectant une sauvegarde de lui-même dans le processus responsable du redémarrage du système. De plus, l’infection survit aux mises à niveau du micrologiciel », ont averti les deux agences néerlandaises.

« Même les appareils FortiGate entièrement corrigés peuvent donc être infectés, s’ils ont été compromis avant l’application du dernier correctif. »

Le malware fonctionne furtivement et de manière persistante, se cachant en interceptant les appels système pour éviter de révéler sa présence. Il persiste également lors des redémarrages du système et des mises à niveau du micrologiciel.

Bien que les attaques n’aient pas été attribuées à un groupe de menaces spécifique, le MIVD a lié cet incident avec une grande confiance à un groupe de piratage parrainé par l’État chinois et a ajouté que cette activité malveillante faisait partie d’un schéma plus large d’espionnage politique chinois ciblant les Pays-Bas et ses alliés.

Fortifier les pare-feu attaqués
Les pirates chinois ont déployé le malware Coathanger à des fins de cyberespionnage sur des pare-feu FortiGate vulnérables qu’ils ont compromis en exploitant la vulnérabilité FortiOS SSL-VPN CVE-2022-42475.

CVE-2022-42475 a également été exploité comme un jour zéro dans des attaques ciblant des organisations gouvernementales et des cibles connexes, comme Fortinet l’a révélé en janvier 2023.

Ces attaques partagent également de nombreuses similitudes avec une autre campagne de piratage chinoise qui ciblait des appliances SonicWall Secure Mobile Access (SMA) non corrigées avec des logiciels malveillants de cyberespionnage également conçus pour survivre aux mises à niveau du micrologiciel.

Les organisations sont invitées à appliquer rapidement les correctifs de sécurité des fournisseurs pour tous les appareils connectés à Internet (edge) dès qu’ils sont disponibles pour empêcher des tentatives d’attaque similaires.

« Pour la première fois, le MIVD a choisi de rendre public un rapport technique sur les méthodes de travail des hackers chinois. Il est important d’attribuer de telles activités d’espionnage à la Chine », a déclaré la ministre de la Défense, Kajsa Oongren.

« De cette façon, nous augmentons la résilience internationale contre ce type de cyberespionnage. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *