Des pirates informatiques chinois présumés ont ciblé et violé de manière disproportionnée des gouvernements et des organisations liées à des gouvernements dans le monde entier lors d’attaques récentes ciblant un Zero Day de Barracuda Email Security Gateway (ESG), en mettant l’accent sur des entités à travers les Amériques.
Près d’un tiers des appareils piratés lors de cette campagne appartenaient à des agences gouvernementales, la plupart entre octobre et décembre 2022, selon un rapport Mandiant publié aujourd’hui.
« Parmi les organisations nord-américaines identifiées comme touchées, de nombreux bureaux d’État, de provinces, de comtés, de tribus et de municipalités ont été ciblés par cette campagne », a déclaré Mandiant.
« Alors que le ciblage global des gouvernements locaux concerne un peu moins de sept pour cent de toutes les organisations affectées identifiées, cette statistique augmente à près de dix-sept pour cent par rapport au ciblage basé uniquement aux États-Unis. »
La motivation des attaques était l’espionnage, l’acteur menaçant (identifié comme UNC4841) se livrant à une exfiltration ciblée de systèmes appartenant à des utilisateurs de haut niveau du gouvernement et des secteurs verticaux de haute technologie.
Barracuda a averti ses clients que la vulnérabilité était exploitée pour pirater les appareils ESG le 20 mai, lorsqu’il a également corrigé à distance tous les appareils vulnérables.
Dix jours plus tard, la société a également révélé que le bug du jour zéro avait été exploité lors d’attaques pendant au moins sept mois, depuis au moins octobre 2022, pour supprimer des logiciels malveillants jusqu’alors inconnus et voler des données sur des systèmes compromis.
Les clients ont été avertis une semaine plus tard qu’ils devaient remplacer immédiatement les appareils piratés, même ceux déjà corrigés (environ 5 % de tous les appareils ESG ont été piratés lors des attaques, selon Mandiant).
Les attaquants ont déployé des logiciels malveillants jusqu’alors inconnus, notamment SeaSpy et Saltwater, ainsi qu’un outil malveillant, SeaSide, pour accéder à distance aux systèmes compromis via des shells inversés.
CISA a également partagé des détails sur les logiciels malveillants Submarine (alias DepthCharge) et Whirlpool qui ont été déployés dans les mêmes attaques que les charges utiles ultérieures pour maintenir la persistance après l’avis de Barracuda du 20 mai sur un petit nombre d’appareils précédemment compromis appartenant à ce que Mandiant considère comme étant de grande valeur. cibles.
Cela « suggère que malgré la couverture mondiale de cette opération, elle n’était pas opportuniste et que l’UNC4841 disposait d’une planification et d’un financement adéquats pour anticiper et se préparer aux éventualités qui pourraient potentiellement perturber leur accès aux réseaux cibles », a déclaré Mandiant dans le rapport d’aujourd’hui.
« Nous sommes confrontés à des adversaires redoutables qui disposent de vastes ressources, de financements et du savoir-faire nécessaires pour exécuter avec succès des campagnes d’espionnage mondiales sans être détectés. Les acteurs de l’espionnage liés à la Chine améliorent leurs opérations pour être plus percutantes, furtives et efficaces », Austin Larsen , a déclaré à Breachtrace le consultant principal en réponse aux incidents de Mandiant.
FBI : les appliances Barracuda ESG toujours sous le feu des critiques
Alors que Mandiant et Barracuda n’ont pas encore trouvé de preuve que de nouveaux appareils ESG ont été compromis via des exploits CVE-2023-2868 après leur mise à jour, le FBI a averti la semaine dernière que les correctifs sont « inefficaces » et que les appareils corrigés sont toujours compromis. attaques.
L’agence fédérale américaine chargée de l’application des lois a également renforcé l’avertissement de Barracuda aux clients selon lequel ils doivent isoler et remplacer les appareils piratés dès que possible, leur a conseillé d’enquêter sur leurs réseaux pour détecter d’éventuelles violations et les a exhortés à révoquer et à alterner les informations d’identification privilégiées par l’entreprise (par exemple, Active Directory) pour contrecarrer les tentatives des attaquants de maintenir la persistance du réseau.
« Le FBI continue d’observer des intrusions actives et considère que tous les appareils Barracuda ESG concernés sont compromis et vulnérables à cet exploit », a indiqué l’agence.
« Le FBI a vérifié de manière indépendante que tous les appareils ESG exploités, même ceux dotés de correctifs publiés par Barracuda, restent exposés à un risque de compromission continue du réseau informatique par des cyber-acteurs présumés de la RPC exploitant cette vulnérabilité. »
Les produits de sécurité de Barracuda sont utilisés par plus de 200 000 organisations dans le monde, y compris des entités gouvernementales et des entreprises de premier plan.