Le Royaume-Uni et les États-Unis confirment les attaques de MS Exchange Server soutenues par l’État chinois
5 min read
le Royaume-Uni et nous gouvernements, aux côtés d’alliés et de partenaires dont l’Union européenne (UE) et OTAN, ont confirmé aujourd’hui qu’un groupe d’acteurs malveillants soutenus par l’État chinois, connu sous le nom de Hafnium, était responsable de l’accès illicite à plusieurs réseaux cibles via des vulnérabilités dans versions sur site de Microsoft Exchange Server.
Les attaques Exchange ont eu lieu plus tôt cette année et compromis des milliers d’organisations dans le monde – au moins 30 000 rien qu’aux États-Unis – probablement pour permettre l’espionnage à grande échelle, y compris l’obtention de données personnelles et de propriété intellectuelle.
Au Royaume-Uni, le National Cyber Security Center (NCSC) a déclaré il a désormais soutenu plus de 70 victimes, en leur fournissant des conseils et des orientations sur mesure pour les aider à surmonter les séquelles des attaques.
« L’attaque contre les serveurs Microsoft Exchange est un autre exemple sérieux d’acte malveillant commis par des acteurs chinois soutenus par l’État dans le cyberespace », a déclaré Paul Chichester, directeur des opérations du NCSC. « Ce genre de comportement est totalement inacceptable, et aux côtés de nos partenaires, nous n’hésiterons pas à le dénoncer quand nous le verrons.
« Il est essentiel que toutes les organisations continuent d’appliquer rapidement les mises à jour de sécurité et de signaler tout compromis suspecté au NCSC via notre site Web. »
Le ministre des Affaires étrangères, Dominic Raab, a ajouté : « La cyberattaque contre Microsoft Exchange Server par des groupes soutenus par l’État chinois était un comportement imprudent mais familier. Le gouvernement chinois doit mettre fin à ce cyber-sabotage systématique et peut s’attendre à être tenu responsable s’il ne le fait pas. »
Le Royaume-Uni a également accusé aujourd’hui le ministère chinois de la Sécurité d’État (MSS) d’être à l’origine de l’activité de groupes appelés APT40 et APT31, qui, entre eux, ont ciblé des sous-traitants de la défense maritime et navale et des organismes gouvernementaux.
Raab a accusé Pékin d’avoir ignoré à plusieurs reprises les appels à mettre fin à cette campagne d’activités, et a déclaré qu’il autorisait plutôt ces groupes à intensifier leurs activités et à agir de manière imprudente lorsqu’ils étaient pris.
Il a appelé le gouvernement chinois à assumer la responsabilité de ses actions et à respecter les institutions démocratiques, les données personnelles et les intérêts commerciaux « de ceux avec qui il cherche à s’associer ».
Le Royaume-Uni appelle également la Chine à réaffirmer les engagements antérieurs pris envers le Royaume-Uni en 2015, et dans le cadre du G20, de ne pas mener ou soutenir le vol de propriété intellectuelle par cyber-activation.
Dans le même temps, le département américain de la Justice (DoJ) a aujourd’hui inculpé quatre membres de l’APT40 de mener une campagne de cyberattaques ciblant des entreprises privées, des universités et des organismes gouvernementaux du monde entier entre 2011 et 2018.
Le DoJ a allégué que les accusés et les conspirateurs du Département de la sécurité de l’État de Hainan (HSSD) ont cherché à dissimuler leur vol en créant une société écran – Hainan Xiandun – opérant à partir de la ville de Haikou à Hainan, une province insulaire située au large de la côte sud de la Chine, à environ 300 miles à l’est de Hong Kong.
L’acte d’accusation nomme Ding Xiaoyang, Cheng Qingmin et Zhu Yunmin comme officiers du HSSD chargés de coordonner, faciliter et gérer une équipe d’intrusion composée de spécialistes techniques et de linguistes à Hainan Xiandun. Il nomme également Wu Shurong comme superviseur qui, dans le cadre de ses fonctions au sein de la société écran, accédait aux systèmes informatiques exploités par des gouvernements, des entreprises et des universités étrangers, et supervisait les autres salariés.
Ils sont également accusés de travailler avec le personnel et les professeurs des universités de Hainan et d’ailleurs en Chine pour faire avancer les objectifs de la campagne. Les universités auraient fourni une assistance matérielle au MSS pour identifier et recruter des personnes pour pénétrer et voler les réseaux cibles.
La campagne est connue pour avoir fait des victimes en Autriche, au Cambodge, au Canada, en Allemagne, en Indonésie, en Malaisie, en Norvège, en Arabie saoudite, en Afrique du Sud, en Suisse, au Royaume-Uni et aux États-Unis, avec des secteurs verticaux ciblés tels que l’aviation, la défense, l’éducation, le gouvernement, la santé , biopharmaceutique et maritime.
Certaines des PI volées comprenaient des technologies liées aux véhicules submersibles et autonomes, des formules chimiques, l’entretien d’avions commerciaux, la technologie de séquençage génétique, la recherche sur des maladies comme Ebola, le VIH/SIDA et le MERS, et des informations qui auraient pu soutenir les efforts de la Chine pour obtenir des contrats pour ses entreprises d’État dans les pays ciblés.
“Ces accusations criminelles soulignent une fois de plus que la Chine continue d’utiliser des attaques cybernétiques pour voler ce que d’autres pays font, au mépris flagrant de ses engagements bilatéraux et multilatéraux”, a déclaré la procureure générale adjointe américaine Lisa Monaco.
« L’ampleur et la durée des campagnes de piratage de la Chine, y compris ces efforts… nous rappellent qu’aucun pays ou industrie n’est en sécurité. La condamnation internationale d’aujourd’hui montre que le monde veut des règles justes, où les pays investissent dans l’innovation, pas dans le vol.
APT40 aurait accédé à ses réseaux de victimes via des campagnes de spear-phishing frauduleuses, soutenues par des profils en ligne fictifs et des domaines similaires créés pour imiter les sites Web d’entreprises et de partenaires légitimes. Dans certains cas, l’équipe a également utilisé des informations d’identification piratées pour cibler d’autres personnes dans la même organisation.
La campagne a également utilisé plusieurs souches de logiciels malveillants pour étendre leur portée et maintenir leur présence au sein de leurs réseaux de victimes, notamment BADFLICK ou GreenCrash, PHOTO ou Derusbi, MURKYTOP ou mt.exe, et HOMEFRY ou dp.dll. Le malware était le plus souvent consulté et l’infrastructure d’intrusion gérée via des services d’anonymisation tels que Tor, tandis que les données volées étaient stockées sur GitHub, dissimulées à l’aide de techniques stéganographiques. Les conspirateurs ont également exploité les clés API de Dropbox pour faire croire que leur exfiltration de données était un initié utilisant légitimement Dropbox.
Plus de détails sur les travaux du groupe, y compris des détails techniques, des indicateurs de compromis et des conseils d’atténuation, peut être trouvé dans un avis CISA récemment publié.
