Après le secteur de l’électricité, les acteurs chinois de la menace ciblent les opérateurs télécoms en Asie du Sud-Est

  • FrançaisFrançais



  • Les acteurs de la menace ciblent souvent des organisations de premier plan dans des secteurs critiques pour propager leur vecteur d’attaque dans une plus large mesure. Des centrales électriques aux unités de transformation alimentaire, les cyberattaques contre les services essentiels se sont multipliées ces derniers temps. Les experts en sécurité de Cybereason Nocturnus ont découvert trois campagnes malveillantes différentes ciblant plusieurs entreprises de télécommunications situées en Asie du Sud-Est depuis 2017.

    Suivi comme Sosie, les trois campagnes sont axées sur l’obtention d’informations sensibles en compromettant les actifs numériques critiques tels que les serveurs de facturation et l’enregistrement des détails des appels (CDR), y compris les composants réseau tels que les serveurs Web, les contrôleurs de domaine et les serveurs Microsoft Exchange. Cybereason a lié les campagnes à trois groupes d’acteurs chinois, à savoir Gallium (également connu sous le nom de Soft Cell), Naikon APT (également connu sous le nom d’APT30 et Lotus Panda), et TG-3390 (également appelé APT27 et Emissary Panda).

    Les attaquants utilisent des techniques avancées pour maintenir la persistance sur les appareils compromis et modifient leurs tactiques de piratage pour échapper aux détections de sécurité. La compromission réussie des réseaux de télécommunications permet aux attaquants d’effectuer diverses attaques, notamment le vol d’identifiants, la reconnaissance du réseau et l’exfiltration de données.

    Les principales activités des campagnes comprennent :

    • Reconnaissance et collecte d’informations sur les hôtes infectés
    • Activité de reconnaissance pour collecter des informations sur le point de terminaison et le réseau
    • Rechercher des outils de sécurité et tenter de désactiver ou d’arrêter leurs processus
    • Manipulation de fichiers et de processus
    • Exécution de commandes arbitraires
    • Escalade de privilèges
    • Communications C2 utilisant des sockets bruts
    • Cryptage des données RC4 pour la communication entre le C2 et la cible

    Trois groupes, une cible

    Malgré le ciblage en trois groupes individuels, les campagnes partagent des similitudes sous divers aspects. Les chercheurs de Cybereason soupçonnent que les trois groupes travaillent sous un seul groupe cybercriminel.

    « Dans certains cas, les trois groupes d’activité ont été observés dans le même environnement cible, à peu près au même moment et même sur les mêmes points de terminaison. À ce stade, il n’y a pas suffisamment d’informations pour déterminer avec certitude la nature de ce chevauchement, à savoir si ces clusters représentent le travail de trois acteurs de menace différents travaillant indépendamment, ou si ces clusters représentent le travail de trois équipes différentes opérant au nom de un seul acteur menaçant. Quoi qu’il en soit, nous proposons plusieurs hypothèses plausibles qui pourraient expliquer cette observation », a déclaré Cybereason.

    Les pirates chinois ciblent le secteur énergétique indien

    Dans un passé récent, la recherche sur la sécurité de Avenir enregistré a découvert un groupe d’acteurs menaçants liés à la Chine, surnommé RedEcho, ciblant 12 organisations indiennes, dont 10 dans le secteur de l’électricité. Les chercheurs ont découvert un sous-ensemble de serveurs qui partagent des tactiques, techniques et procédures (TTP) familières avec plusieurs groupes parrainés par l’État chinois précédemment signalés. Lire la suite Ici

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *