Une campagne de cyberespionnage insaisissable et sophistiqu\u00e9e orchestr\u00e9e par le groupe Winnti soutenu par la Chine a r\u00e9ussi \u00e0 passer sous le radar depuis au moins 2019.<\/p>\n
Surnomm\u00e9 “Op\u00e9ration CuckooBees<\/b>” par la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 Cybereason, l’op\u00e9ration massive de vol de propri\u00e9t\u00e9 intellectuelle a permis \u00e0 l’auteur de la menace d’exfiltrer des centaines de gigaoctets d’informations.<\/p>\n
Les cibles comprenaient des entreprises technologiques et de fabrication principalement situ\u00e9es en Asie de l’Est, en Europe occidentale et en Am\u00e9rique du Nord.<\/p>\n
“Les attaquants ont cibl\u00e9 la propri\u00e9t\u00e9 intellectuelle d\u00e9velopp\u00e9e par les victimes, y compris des documents sensibles, des plans, des diagrammes, des formules et des donn\u00e9es propri\u00e9taires li\u00e9es \u00e0 la fabrication”, ont d\u00e9clar\u00e9 les chercheurs. mentionn\u00e9<\/a>.<\/p>\n “De plus, les attaquants ont collect\u00e9 des informations qui pourraient \u00eatre utilis\u00e9es pour de futures cyberattaques, telles que des d\u00e9tails sur les unit\u00e9s commerciales de l’entreprise cible, l’architecture du r\u00e9seau, les comptes d’utilisateurs et les informations d’identification, les e-mails des employ\u00e9s et les donn\u00e9es des clients”.<\/p>\n Winnti, \u00e9galement suivi par d’autres fournisseurs de cybers\u00e9curit\u00e9 sous les noms APT41, Axiom, Barium et Bronze Atlas, est connu pour \u00eatre actif depuis au moins 2007.<\/p>\n “L’intention du groupe est de voler la propri\u00e9t\u00e9 intellectuelle des organisations des \u00e9conomies d\u00e9velopp\u00e9es, et avec une confiance mod\u00e9r\u00e9e que c’est au nom de la Chine pour soutenir la prise de d\u00e9cision dans une gamme de secteurs \u00e9conomiques chinois”, a d\u00e9clar\u00e9 Secureworks. Remarques<\/a> dans un profil de menace de l’acteur.<\/p>\n La cha\u00eene d’infection en plusieurs phases document\u00e9e par Cybereason implique l’exploitation de serveurs connect\u00e9s \u00e0 Internet pour d\u00e9ployer un shell Web dans le but de mener des activit\u00e9s de reconnaissance, de d\u00e9placement lat\u00e9ral et d’exfiltration de donn\u00e9es.<\/p>\n C’est \u00e0 la fois complexe et complexe, suivant une approche “ch\u00e2teau de cartes” en ce sens que chaque composant de la killchain d\u00e9pend d’autres modules pour fonctionner, ce qui rend l’analyse extr\u00eamement difficile.<\/p>\n “Cela d\u00e9montre la r\u00e9flexion et les efforts qui ont \u00e9t\u00e9 consacr\u00e9s \u00e0 la fois aux logiciels malveillants et aux consid\u00e9rations de s\u00e9curit\u00e9 op\u00e9rationnelle, ce qui rend presque impossible l’analyse \u00e0 moins que toutes les pi\u00e8ces du puzzle ne soient assembl\u00e9es dans le bon ordre”, ont expliqu\u00e9 les chercheurs.<\/p>\n La collecte de donn\u00e9es est facilit\u00e9e au moyen d’un chargeur modulaire appel\u00e9 Spyder, qui est utilis\u00e9 pour d\u00e9chiffrer et charger des charges utiles suppl\u00e9mentaires. Quatre charges utiles diff\u00e9rentes sont \u00e9galement utilis\u00e9es – STASHLOG, SPARKLOG, PRIVATELOG et DEPLOYLOG – qui sont d\u00e9ploy\u00e9es s\u00e9quentiellement pour supprimer le WINNKIT, un rootkit au niveau du noyau.<\/p>\n L’utilisation de techniques “rarement vues” telles que l’abus de Windows Common Log File System (CLFS<\/a>) pour cacher les charges utiles, permettant au groupe de piratage de dissimuler leurs charges utiles et d’\u00e9chapper \u00e0 la d\u00e9tection par les produits de s\u00e9curit\u00e9 traditionnels.<\/p>\n Fait int\u00e9ressant, des parties de la s\u00e9quence d’attaque ont d\u00e9j\u00e0 \u00e9t\u00e9 d\u00e9taill\u00e9es par Mandiant en septembre 2021, tout en soulignant l’utilisation abusive de CLFS pour masquer les charges utiles de deuxi\u00e8me \u00e9tape dans le but de contourner la d\u00e9tection.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a attribu\u00e9 le logiciel malveillant \u00e0 un acteur inconnu, mais a averti qu’il aurait pu \u00eatre d\u00e9ploy\u00e9 dans le cadre d’une activit\u00e9 tr\u00e8s cibl\u00e9e.<\/p>\n “Parce que le format de fichier n’est pas largement utilis\u00e9 ou document\u00e9, il n’y a pas d’outils disponibles qui peuvent analyser les fichiers journaux CLFS”, a d\u00e9clar\u00e9 Mandiant \u00e0 l’\u00e9poque. “Cela offre aux attaquants la possibilit\u00e9 de masquer leurs donn\u00e9es sous forme d’enregistrements de journal de mani\u00e8re pratique, car ceux-ci sont accessibles via des fonctions API.”<\/p>\n![\"Hackers](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1651681943_305_Des-pirates-chinois-surpris-en-train-de-voler-la-propriete.jpg\" "\\"Hackers")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n