Un outil d’espionnage auparavant non document\u00e9 a \u00e9t\u00e9 d\u00e9ploy\u00e9 contre des gouvernements s\u00e9lectionn\u00e9s et d’autres cibles d’infrastructures critiques dans le cadre d’une campagne d’espionnage de longue dur\u00e9e orchestr\u00e9e par des acteurs de la menace li\u00e9s \u00e0 la Chine depuis au moins 2013.<\/p>\n
L’\u00e9quipe Symantec Threat Hunter de Broadcom a caract\u00e9ris\u00e9 la porte d\u00e9rob\u00e9e, nomm\u00e9e Daxine<\/a>en tant que malware technologiquement avanc\u00e9, permettant aux attaquants d’effectuer une vari\u00e9t\u00e9 d’op\u00e9rations de communication et de collecte d’informations destin\u00e9es \u00e0 des entit\u00e9s des secteurs des t\u00e9l\u00e9communications, des transports et de la fabrication qui pr\u00e9sentent un int\u00e9r\u00eat strat\u00e9gique pour la Chine.<\/p>\n “Le malware Daxin est une porte d\u00e9rob\u00e9e rootkit hautement sophistiqu\u00e9e avec une fonctionnalit\u00e9 complexe et furtive de commande et de contr\u00f4le (C2) qui permet aux acteurs distants de communiquer avec des appareils s\u00e9curis\u00e9s non connect\u00e9s directement \u00e0 Internet”, a d\u00e9clar\u00e9 l’Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA). mentionn\u00e9<\/a> dans un conseil ind\u00e9pendant.<\/p>\n L’implant prend la forme d’un pilote de noyau Windows qui impl\u00e9mente un m\u00e9canisme de communication \u00e9labor\u00e9 qui offre au logiciel malveillant un degr\u00e9 \u00e9lev\u00e9 de furtivit\u00e9 et la capacit\u00e9 de communiquer avec des machines physiquement d\u00e9connect\u00e9es d’Internet.<\/p>\n Il y parvient en \u00e9vitant express\u00e9ment de lancer ses propres services de r\u00e9seau, optant plut\u00f4t pour profiter de l\u00e9gitimes TCP\/IP<\/a> services d\u00e9j\u00e0 en cours d’ex\u00e9cution sur les ordinateurs infect\u00e9s pour m\u00e9langer ses communications avec le trafic normal sur le r\u00e9seau de la cible et recevoir des commandes d’un pair distant.<\/p>\n “Ces caract\u00e9ristiques rappellent Regin”, ont not\u00e9 les chercheurs, faisant r\u00e9f\u00e9rence \u00e0 un autre bo\u00eete \u00e0 outils de logiciels malveillants et de piratage<\/a> attribu\u00e9e \u00e0 la National Security Agency (NSA) des \u00c9tats-Unis pour les op\u00e9rations d’espionnage du gouvernement en 2014.<\/p>\n Parmi les aspects inhabituels de Daxin, en plus de ne g\u00e9n\u00e9rer aucun trafic r\u00e9seau suspect pour rester invisible, il y a sa capacit\u00e9 \u00e0 relayer des commandes sur un r\u00e9seau d’ordinateurs infect\u00e9s au sein de l’organisation attaqu\u00e9e, cr\u00e9ant un “canal de communication multi-n\u0153uds” qui permet un acc\u00e8s r\u00e9current au compromis. ordinateurs pendant de longues p\u00e9riodes.<\/p>\n Alors que des intrusions r\u00e9centes impliquant la porte d\u00e9rob\u00e9e se seraient produites en novembre 2021, Symantec a d\u00e9clar\u00e9 avoir d\u00e9couvert des points communs au niveau du code avec un ancien logiciel malveillant appel\u00e9 Exforel<\/a> (alias Zala<\/a>), indiquant que Daxin peut avoir \u00e9t\u00e9 construit par un acteur ayant acc\u00e8s \u00e0 la base de code de ce dernier ou qu’ils sont l’\u0153uvre du m\u00eame groupe.<\/p>\n Les campagnes n’ont pas \u00e9t\u00e9 attribu\u00e9es \u00e0 un seul adversaire, mais une chronologie des attaques montre que Daxin a \u00e9t\u00e9 install\u00e9 sur certains des m\u00eames syst\u00e8mes o\u00f9 des outils associ\u00e9s \u00e0 d’autres acteurs d’espionnage chinois comme Slug ont \u00e9t\u00e9 trouv\u00e9s. Cela inclut le d\u00e9ploiement de Daxin et Owprox<\/a> malware sur un seul ordinateur appartenant \u00e0 une entreprise technologique en mai 2020.<\/p>\n “Daxin est sans aucun doute le malware le plus avanc\u00e9 […] utilis\u00e9 par un acteur li\u00e9 \u00e0 la Chine”, ont d\u00e9clar\u00e9 les chercheurs. “Compte tenu de ses capacit\u00e9s et de la nature de ses attaques d\u00e9ploy\u00e9es, Daxin semble \u00eatre optimis\u00e9 pour une utilisation contre des cibles renforc\u00e9es, permettant aux attaquants de creuser profond\u00e9ment dans le r\u00e9seau d’une cible et d’exfiltrer des donn\u00e9es sans \u00e9veiller les soup\u00e7ons.”<\/p>\n La divulgation arrive une semaine apr\u00e8s que Pangu Lab, bas\u00e9 en Chine, a d\u00e9voil\u00e9 une porte d\u00e9rob\u00e9e “de premier plan” appel\u00e9e Bvp47, utilis\u00e9e par l’Agence am\u00e9ricaine de s\u00e9curit\u00e9 nationale pendant plus d’une d\u00e9cennie ciblant jusqu’\u00e0 287 organisations dans 45 pays situ\u00e9s principalement en Chine, Cor\u00e9e, Japon, Allemagne, Espagne, Inde et Mexique.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646124018_583_Le-logiciel-malveillant-Daxin-lie-a-la-Chine-a-cible.png\")
<\/a><\/div>\n![\"Attaques](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/Le-logiciel-malveillant-Daxin-lie-a-la-Chine-a-cible.jpeg\" "\\"Attaques")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701002_140_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n