Sophos a dévoilé aujourd’hui une série de rapports surnommés « Pacific Rim » qui détaillent comment la société de cybersécurité s’est battue avec des acteurs de la menace chinois pendant plus de 5 ans alors qu’ils ciblaient de plus en plus les appareils réseau dans le monde entier, y compris ceux de Sophos.
Pendant des années, les entreprises de cybersécurité ont averti les entreprises que les auteurs de menaces chinois exploitaient les failles des périphériques réseau périphériques pour installer des logiciels malveillants personnalisés leur permettant de surveiller les communications réseau, de voler des informations d’identification ou d’agir en tant que serveurs proxy pour les attaques relayées.
Ces attaques ont ciblé des fabricants bien connus, notamment Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear, Sophos et bien d’autres.
Sophos a attribué cette activité à plusieurs acteurs de la menace chinois, connus sous le nom de Volt Typhoon, APT31 et APT41/ Winnti, qui ont tous été connus pour cibler des périphériques réseau dans le passé.
« Depuis plus de cinq ans, Sophos enquête sur plusieurs groupes basés en Chine ciblant les pare-feu Sophos, avec des botnets, de nouveaux exploits et des logiciels malveillants sur mesure », explique Sophos dans un rapport qui décrit l’activité.
« Avec l’aide d’autres fournisseurs de cybersécurité, de gouvernements et d’organismes chargés de l’application de la loi, nous avons pu, avec différents niveaux de confiance, attribuer des groupes spécifiques d’activités observées à Volt Typhoon, APT31 et APT41/Winnti. »
Sophos dit qu’ils ont commencé à s’affronter avec les acteurs de la menace en 2018 lorsqu’ils ont ciblé le siège de Cyberoam, une filiale de Sophos basée en Inde. Les chercheurs pensent que c’est à ce moment que les acteurs de la menace ont commencé à rechercher des attaques sur les périphériques réseau.
Depuis lors, les auteurs de menaces ont de plus en plus utilisé des vulnérabilités connues et zero-day pour cibler les périphériques réseau périphériques.
Sophos estime que bon nombre des vulnérabilités zero-day sont développées par des chercheurs chinois qui les partagent non seulement avec les fournisseurs, mais également avec le gouvernement chinois et les acteurs de la menace parrainés par l’État associés.
« Dans deux des attaques (Asnarök et une attaque ultérieure baptisée « Panda personnel »), X-Ops a découvert des liens entre des chercheurs de primes de bogues divulguant de manière responsable des vulnérabilités et les groupes d’adversaires suivis dans ce rapport. X-Ops a évalué, avec un degré de confiance moyen, l’existence d’une communauté de recherche centrée sur les établissements d’enseignement à Chengdu. On pense que cette communauté collabore à la recherche sur la vulnérabilité et partage ses conclusions avec les fournisseurs et les entités associées au gouvernement chinois, y compris les entrepreneurs menant des opérations offensives pour le compte de l’État. Cependant, la portée et la nature complètes de ces activités n’ont pas été vérifiées de manière concluante. »
❖ Opérations X de Sophos, Ross McKerchar.
Au fil des ans, les acteurs chinois de la menace ont fait évoluer leurs tactiques pour utiliser des logiciels malveillants uniquement en mémoire, des techniques de persistance avancées et l’utilisation de périphériques réseau compromis en tant que réseaux proxy de boîtes de relais opérationnelles massives (ORBs) pour échapper à la détection.
Alors que bon nombre de ces attaques ont mis les chercheurs en cybersécurité sur la défensive, Sophos a également eu l’occasion de passer à l’offensive, en implantant des implants personnalisés sur des appareils connus pour être compromis.
« En recherchant par télémétrie, les analystes de X-Ops ont identifié un appareil dont X-Ops a conclu, avec un degré de confiance élevé, qu’il appartenait à l’entité à Double hélice », a expliqué Sophos.
« Après avoir consulté un conseiller juridique, X-Ops a déployé l’implant ciblé et a observé l’attaquant utiliser vim pour écrire et exécuter un script Perl simple. »
« Bien que de faible valeur, le déploiement a servi de démonstration précieuse de la capacité de collecte de renseignements en offrant une observabilité en temps quasi réel sur les appareils contrôlés par les attaquants. »
Ces implants ont permis à Sophos de collecter des données précieuses sur les auteurs de menaces, y compris un kit de démarrage UEFI qui a été observé en cours de déploiement sur un périphérique réseau.
Cet appareil a été acheté par une société basée à Chengdu qui a envoyé la télémétrie à une adresse IP dans cette région. Sophos affirme que cette région a été l’épicentre d’activités malveillantes ciblant les périphériques réseau.
Les multiples rapports de Sophos sont très détaillés, partageant une chronologie des événements et des détails sur la façon dont les défenseurs peuvent se protéger contre les attaques.