les chercheurs en sécurité avertissent que les pirates informatiques soutenus par l’État liés à la Chine s’appuient de plus en plus sur un vaste réseau de serveurs proxy créé à partir de serveurs privés virtuels et d’appareils en ligne compromis pour les opérations de cyberespionnage.

Appelés réseaux ORBS (operational relay box), ces maillages proxy sont administrés par des cybercriminels indépendants qui fournissent un accès à plusieurs acteurs parrainés par l’État (APT).

Les ORBES sont similaires aux botnets, mais ils peuvent être un hybride de services VPS loués commercialement et d’appareils compromis, y compris des routeurs en fin de vie et d’autres produits IoT.

L’utilisation croissante des orbes par les adversaires s’accompagne de défis à la fois en matière de détection et d’attribution, car l’infrastructure d’attaque n’est plus contrôlée par l’auteur de la menace, qui peut parcourir des nœuds répartis sur une vaste zone géographique.

Réseaux proxy malveillants
La société de cybersécurité Mandiant a suivi plusieurs orbes, dont deux utilisés par des acteurs de la menace avancés connus pour leurs opérations d’espionnage et de vol intellectuel liées à la Chine.

L’un d’eux appelé ORB3/SPACEHOP est décrit comme “un réseau très actif exploité par plusieurs acteurs de la menace Chine-nexus, y compris APT5 et APT15” pour la reconnaissance et l’exploitation des vulnérabilités.

Par exemple, SPACEHOP a été utilisé en décembre 2022 pour exploiter CVE-2022-27518, une vulnérabilité critique dans Citrix ADC et Gateway, que la National Security Agency (NSA) a liée à APT5 (alias Manganese, Mulberry Typhoon, Bronze Fleetwood, Keyhole Panda et UNC2630).

Les chercheurs de Mandiant affirment que SPACEHOP est un réseau provisionné qui utilise un serveur relais hébergé à Hong Kong ou en Chine par un fournisseur de cloud. Il installe un framework de commande et de contrôle (C2) open source qui permet de gérer les nœuds en aval.

Les nœuds relais sont généralement des images clonées basées sur Linux et leur rôle est de proxy le trafic malveillant vers un nœud de sortie qui communique avec les environnements victimes ciblés.

ORBE 3 / Réseau de magasins SPATIAUX

En revanche, ORB2 / FLORAHOX est un réseau hybride composé d’un Serveur d’opérations contrôlées par l’adversaire (ACOS), d’appareils connectés compromis (routeurs et IoT) et de services VPS qui gèrent le trafic via TOR et plusieurs routeurs piratés.

Les chercheurs pensent que ce maillage est  » utilisé dans des campagnes de cyberespionnage par un ensemble diversifié d’acteurs de la menace liés à la Chine” pour masquer le trafic à la source.

Le réseau semble contenir plusieurs sous-réseaux composés de périphériques compromis recrutés par l’implant de routeur FLOWERWATER ainsi que d’autres charges utiles basées sur le routeur.

ORB2 / Le réseau FLORAHOX

Bien qu’ORB2 / FLORAHOX soit utilisé par plusieurs acteurs de la menace, Mandiant affirme que des sources tierces de confiance ont signalé des grappes d’activités attribuées à des adversaires liés à la Chine, APT31/Zirconium, qui se concentrent sur le vol de propriété intellectuelle.

« ORB2 représente une conception plus compliquée, y compris le relais du trafic via les nœuds TOR, les serveurs VPS provisionnés et différents types de routeurs compromis, y compris les périphériques en fin de vie CISCO, ASUS et Draytek » – Mandiant

Outre FLOWERWATER, les chercheurs affirment que des charges utiles et des outils supplémentaires (tunnelier de routeur MIPS PETALTOWER, scripts bash SHIMMERPICK) sont utilisés pour naviguer sur le réseau ORB2 et les nœuds préexistants en fonction des entrées de ligne de commande.

Quel que soit le type d’appareils utilisés, un réseau ORB possède un ensemble de composants essentiels qui lui permettent de fonctionner correctement:

  • Serveur d’opérations contrôlées par l’adversaire (CORE) – serveur d’administration de nœuds dans un réseau ORB
  • Nœud de relais-permet aux utilisateurs de s’authentifier auprès du réseau et de relayer le trafic via le plus grand pool de traversée sur les nœuds ORB
  • Nœuds traversaux – les nœuds principaux composant un réseau ORB, obscurcissent l’origine du trafic
  • Nœuds de sortie / de préparation-utilisés pour lancer des attaques sur des cibles
  • Serveur victime: infrastructure victime communiquant avec le nœud sur le réseau ORB

Défis de défense d’entreprise
L’utilisation d’orbes a été observée dans le passé, l’exemple récent le plus important étant les attaques Volt Typhoon contre des organisations d’infrastructures critiques américaines utilisant des équipements de réseau SOHO (par exemple des routeurs, des pare-feu et des appliances VPN).

En raison du fonctionnement des orbes malveillants, ils offrent furtivité, résilience et indépendance vis-à-vis de l’infrastructure Internet d’un pays.

De multiples acteurs de la menace utilisent ces infrastructures réseau pendant des périodes limitées, ce qui a un impact sur leur suivi et leur attribution.

Selon Mandiant, la durée de vie d’une adresse IPv4 d’un nœud ORB peut être aussi courte que 31 jours. Cela semble être une caractéristique des entrepreneurs du réseau ORB en Chine, qui peuvent  » faire circuler des pourcentages importants de leur infrastructure compromise ou louée sur une base mensuelle.”

Les défenseurs peuvent manquer le trafic malveillant de ces réseaux car les administrateurs ORB utilisent des fournisseurs de numéros de système autonomes (ASN) dans diverses parties du monde.

En plus de les rendre plus fiables, cela permet également aux adversaires de cibler les entreprises à partir d’appareils à proximité géographique, ce qui soulève moins de soupçons lors de l’analyse du trafic.

“Un tel exemple serait le trafic d’un FAI résidentiel qui se trouve dans le même emplacement géographique que la cible qui est régulièrement utilisée par les employés et qui serait moins susceptible d’être récupéré pour un examen manuel  » – Mandiant

Les attaquants utilisant de plus en plus d’orbes, la protection des environnements d’entreprise devient encore plus difficile car la détection devient plus complexe, l’attribution est plus compliquée et les indicateurs de l’infrastructure adverse sont moins utiles pour les défenseurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *