Une campagne de cyberespionnage insaisissable et sophistiquée orchestrée par le groupe Winnti soutenu par la Chine a réussi à passer sous le radar depuis au moins 2019.
Surnommé “Opération CuckooBees” par la société israélienne de cybersécurité Cybereason, l’opération massive de vol de propriété intellectuelle a permis à l’auteur de la menace d’exfiltrer des centaines de gigaoctets d’informations.
Les cibles comprenaient des entreprises technologiques et de fabrication principalement situées en Asie de l’Est, en Europe occidentale et en Amérique du Nord.
“Les attaquants ont ciblé la propriété intellectuelle développée par les victimes, y compris des documents sensibles, des plans, des diagrammes, des formules et des données propriétaires liées à la fabrication”, ont déclaré les chercheurs. mentionné.
“De plus, les attaquants ont collecté des informations qui pourraient être utilisées pour de futures cyberattaques, telles que des détails sur les unités commerciales de l’entreprise cible, l’architecture du réseau, les comptes d’utilisateurs et les informations d’identification, les e-mails des employés et les données des clients”.
Winnti, également suivi par d’autres fournisseurs de cybersécurité sous les noms APT41, Axiom, Barium et Bronze Atlas, est connu pour être actif depuis au moins 2007.
“L’intention du groupe est de voler la propriété intellectuelle des organisations des économies développées, et avec une confiance modérée que c’est au nom de la Chine pour soutenir la prise de décision dans une gamme de secteurs économiques chinois”, a déclaré Secureworks. Remarques dans un profil de menace de l’acteur.
La chaîne d’infection en plusieurs phases documentée par Cybereason implique l’exploitation de serveurs connectés à Internet pour déployer un shell Web dans le but de mener des activités de reconnaissance, de déplacement latéral et d’exfiltration de données.
C’est à la fois complexe et complexe, suivant une approche “château de cartes” en ce sens que chaque composant de la killchain dépend d’autres modules pour fonctionner, ce qui rend l’analyse extrêmement difficile.
“Cela démontre la réflexion et les efforts qui ont été consacrés à la fois aux logiciels malveillants et aux considérations de sécurité opérationnelle, ce qui rend presque impossible l’analyse à moins que toutes les pièces du puzzle ne soient assemblées dans le bon ordre”, ont expliqué les chercheurs.
La collecte de données est facilitée au moyen d’un chargeur modulaire appelé Spyder, qui est utilisé pour déchiffrer et charger des charges utiles supplémentaires. Quatre charges utiles différentes sont également utilisées – STASHLOG, SPARKLOG, PRIVATELOG et DEPLOYLOG – qui sont déployées séquentiellement pour supprimer le WINNKIT, un rootkit au niveau du noyau.
L’utilisation de techniques “rarement vues” telles que l’abus de Windows Common Log File System (CLFS) pour cacher les charges utiles, permettant au groupe de piratage de dissimuler leurs charges utiles et d’échapper à la détection par les produits de sécurité traditionnels.
Fait intéressant, des parties de la séquence d’attaque ont déjà été détaillées par Mandiant en septembre 2021, tout en soulignant l’utilisation abusive de CLFS pour masquer les charges utiles de deuxième étape dans le but de contourner la détection.
La société de cybersécurité a attribué le logiciel malveillant à un acteur inconnu, mais a averti qu’il aurait pu être déployé dans le cadre d’une activité très ciblée.
“Parce que le format de fichier n’est pas largement utilisé ou documenté, il n’y a pas d’outils disponibles qui peuvent analyser les fichiers journaux CLFS”, a déclaré Mandiant à l’époque. “Cela offre aux attaquants la possibilité de masquer leurs données sous forme d’enregistrements de journal de manière pratique, car ceux-ci sont accessibles via des fonctions API.”
WINNKIT, pour sa part, a un horodatage de compilation de mai 2019 et a presque taux de détection nul dans VirusTotal, soulignant la nature évasive du malware qui a permis à ses auteurs de rester inconnus pendant des années.
Selon les chercheurs, le but ultime des intrusions est de siphonner des informations exclusives, des documents de recherche, du code source et des plans pour diverses technologies.
“Winnti est l’un des groupes les plus industrieux opérant au nom des intérêts alignés sur l’État chinois”, a déclaré Cybereason. “La menace [actor] employait une chaîne d’infection élaborée à plusieurs étapes qui était essentielle pour permettre au groupe de rester non détecté pendant si longtemps.”