Les agences américaines de cybersécurité et de renseignement ont averti sur les cyber-acteurs basés en Chine et soutenus par l’État qui exploitent les vulnérabilités du réseau pour exploiter les organisations des secteurs public et privé depuis au moins 2020.
Les campagnes d’intrusion généralisées visent à exploiter les failles de sécurité identifiées publiquement dans les périphériques réseau tels que les routeurs Small Office/Home Office (SOHO) et les périphériques de stockage en réseau (NAS) dans le but d’obtenir un accès plus approfondi aux réseaux victimes.
En outre, les acteurs ont utilisé ces appareils compromis comme acheminement du trafic de commande et de contrôle (C2) pour pénétrer d’autres cibles à grande échelle, la National Security Agency (NSA) des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau d’enquête (FBI) a dit dans un avis conjoint.
Les auteurs, en plus de changer leurs tactiques en réponse aux divulgations publiques, sont connus pour utiliser un mélange d’outils open source et personnalisés pour la reconnaissance et l’analyse des vulnérabilités ainsi que pour obscurcir et mélanger leur activité.
Les attaques elles-mêmes sont facilitées en accédant à des serveurs compromis, que les agences ont appelés des points de saut, à partir d’adresses IP basées en Chine, en les utilisant pour héberger des domaines C2, des comptes de messagerie et communiquer avec les réseaux cibles.
« Les cyber-acteurs utilisent ces points de saut comme technique d’obscurcissement lorsqu’ils interagissent avec les réseaux de victimes », ont noté les agences, détaillant le schéma de l’adversaire en matière de militarisation des failles dans les organisations de télécommunications et les fournisseurs de services réseau.
Après avoir pris pied dans le réseau via un actif non corrigé sur Internet, les acteurs ont été observés en train d’obtenir des informations d’identification pour les comptes d’utilisateur et d’administration, puis d’exécuter des commandes de routeur pour « router, capturer et exfiltrer subrepticement le trafic hors du réseau vers l’acteur- infrastructures maîtrisées. »
Enfin, les attaquants ont également modifié ou supprimé des fichiers journaux locaux pour effacer les preuves de leur activité afin de dissimuler davantage leur présence et d’échapper à la détection.
Les agences n’ont pas identifié un acteur de la menace spécifique, mais ont noté que les conclusions reflètent les groupes parrainés par l’État chinois. l’histoire de frappant de manière agressive infrastructure critique pour voler des données sensibles, des technologies clés émergentes, la propriété intellectuelle et des informations personnellement identifiables.
La divulgation arrive également moins d’un mois après que les autorités de cybersécurité révélé les vecteurs d’accès initiaux les plus couramment exploités pour violer les cibles, dont certains incluent des serveurs mal configurés, des contrôles de mots de passe faibles, des logiciels non corrigés et l’incapacité à bloquer les tentatives de phishing.
« Les entités peuvent atténuer les vulnérabilités répertoriées dans cet avis en appliquant les correctifs disponibles à leurs systèmes, en remplaçant l’infrastructure en fin de vie et en mettant en œuvre un programme de gestion centralisée des correctifs », ont déclaré les agences.