{"id":464256,"date":"2022-11-15T09:52:10","date_gmt":"2022-11-15T11:52:10","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-affirment-que-des-pirates-informatiques-soutenus-par-letat-chinois-ont-viole-une-autorite-de-certification-numerique\/"},"modified":"2022-11-15T09:52:11","modified_gmt":"2022-11-15T11:52:11","slug":"des-chercheurs-affirment-que-des-pirates-informatiques-soutenus-par-letat-chinois-ont-viole-une-autorite-de-certification-numerique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-affirment-que-des-pirates-informatiques-soutenus-par-letat-chinois-ont-viole-une-autorite-de-certification-numerique\/","title":{"rendered":"Des chercheurs affirment que des pirates informatiques soutenus par l&#8217;\u00c9tat chinois ont viol\u00e9 une autorit\u00e9 de certification num\u00e9rique"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un acteur pr\u00e9sum\u00e9 parrain\u00e9 par l&#8217;\u00c9tat chinois a viol\u00e9 une autorit\u00e9 de certification num\u00e9rique ainsi que des agences gouvernementales et de d\u00e9fense situ\u00e9es dans diff\u00e9rents pays d&#8217;Asie dans le cadre d&#8217;une campagne en cours depuis au moins mars 2022.<\/p>\n<p>Symantec, de Broadcom Software, a li\u00e9 les attaques \u00e0 un groupe d&#8217;adversaires qu&#8217;il suit sous le nom <strong>Billbug<\/strong>, citant l&#8217;utilisation d&#8217;outils pr\u00e9c\u00e9demment attribu\u00e9s \u00e0 cet acteur.  L&#8217;activit\u00e9 semble \u00eatre motiv\u00e9e par l&#8217;espionnage et le vol de donn\u00e9es, bien qu&#8217;aucune donn\u00e9e n&#8217;ait \u00e9t\u00e9 vol\u00e9e \u00e0 ce jour.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/lotus_panda\" target=\"_blank\">Billbug<\/a>aussi appel\u00e9 Bronze Elgin, Lotus Blossom, Lotus Panda, <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/spring-dragon-updated-activity\/79067\/\" target=\"_blank\">Dragon du printemps<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/thrip-hits-satellite-telecoms-defense-targets\" target=\"_blank\">Thrip<\/a>, est un groupe de menace persistante avanc\u00e9e (APT) qui est cens\u00e9 op\u00e9rer au nom des int\u00e9r\u00eats chinois.  Les principales cibles sont les organisations gouvernementales et militaires en Asie du Sud-Est.<\/p>\n<p>Les attaques mont\u00e9es par l&#8217;adversaire en 2019 impliquaient l&#8217;utilisation de portes d\u00e9rob\u00e9es comme <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/thrip-apt-south-east-asia\" target=\"_blank\">Hannotog et Sagerunex<\/a>avec les intrusions observ\u00e9es \u00e0 Hong Kong, Macao, Indon\u00e9sie, Malaisie, Philippines et Vietnam.<\/p>\n<p>Les deux implants sont con\u00e7us pour accorder un acc\u00e8s \u00e0 distance persistant au r\u00e9seau victime, m\u00eame si l&#8217;acteur de la menace est connu pour d\u00e9ployer un voleur d&#8217;informations connu sous le nom de Catchamas dans certains cas pour exfiltrer des informations sensibles.<\/p>\n<p>&#8220;Le ciblage d&#8217;une autorit\u00e9 de certification est remarquable, car si les attaquants r\u00e9ussissaient \u00e0 la compromettre pour acc\u00e9der aux certificats, ils pourraient potentiellement les utiliser pour signer un logiciel malveillant avec un certificat valide et l&#8217;aider \u00e0 \u00e9viter la d\u00e9tection sur les machines victimes&#8221;, ont d\u00e9clar\u00e9 des chercheurs de Symantec. <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/espionage-asia-governments-cert-authority\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>&#8220;Il pourrait \u00e9galement utiliser des certificats compromis pour intercepter le trafic HTTPS.&#8221;<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a toutefois not\u00e9 qu&#8217;il n&#8217;y avait aucune preuve indiquant que Billbug avait r\u00e9ussi \u00e0 compromettre les certificats num\u00e9riques.  L&#8217;autorit\u00e9 concern\u00e9e, a-t-il ajout\u00e9, a \u00e9t\u00e9 inform\u00e9e de l&#8217;activit\u00e9.<\/p>\n<p>Une analyse de la derni\u00e8re vague d&#8217;attaques indique que l&#8217;acc\u00e8s initial est probablement obtenu gr\u00e2ce \u00e0 l&#8217;exploitation d&#8217;applications accessibles sur Internet, apr\u00e8s quoi une combinaison d&#8217;outils sur mesure et vivant hors du terrain est utilis\u00e9e pour atteindre ses objectifs op\u00e9rationnels.<\/p>\n<div class=\"ad_two clear\"><img class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Le-service-de-phishing-de-Robin-Banks-pour-les-cybercriminels.gif\" decoding=\"async\" fetchpriority=\"low\" style=\"float:left\"\/><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cela comprend des utilitaires tels que WinRAR, Ping, Traceroute, NBTscan, Certutil, en plus d&#8217;une porte d\u00e9rob\u00e9e capable de t\u00e9l\u00e9charger des fichiers arbitraires, de collecter des informations syst\u00e8me et de t\u00e9l\u00e9charger des donn\u00e9es crypt\u00e9es.<\/p>\n<p>Un outil proxy multi-sauts open source appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ph4ntonn\/Stowaway\/blob\/master\/README_EN.md\" target=\"_blank\">Passager clandestin<\/a> et le malware Sagerunex, qui est d\u00e9pos\u00e9 sur la machine via Hannotog.  La porte d\u00e9rob\u00e9e, pour sa part, est \u00e9quip\u00e9e pour ex\u00e9cuter des commandes arbitraires, supprimer des charges utiles suppl\u00e9mentaires et siphonner des fichiers int\u00e9ressants.<\/p>\n<p>&#8220;La capacit\u00e9 de cet acteur \u00e0 compromettre plusieurs victimes \u00e0 la fois indique que ce groupe de menaces reste un op\u00e9rateur qualifi\u00e9 et dot\u00e9 de ressources suffisantes, capable de mener des campagnes soutenues et de grande envergure&#8221;, ont conclu les chercheurs.<\/p>\n<p>&#8220;Billbug semble \u00e9galement ne pas \u00eatre d\u00e9courag\u00e9 par la possibilit\u00e9 de se voir attribuer cette activit\u00e9, en r\u00e9utilisant des outils qui ont \u00e9t\u00e9 li\u00e9s au groupe dans le pass\u00e9.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/researchers-say-china-state-backed.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur pr\u00e9sum\u00e9 parrain\u00e9 par l&#8217;\u00c9tat chinois a viol\u00e9 une autorit\u00e9 de certification num\u00e9rique ainsi que des agences gouvernementales et de d\u00e9fense situ\u00e9es dans diff\u00e9rents pays d&#8217;Asie dans le cadre d&#8217;une campagne en cours depuis au moins mars 2022. Symantec, de Broadcom Software, a li\u00e9 les attaques \u00e0 un groupe d&#8217;adversaires qu&#8217;il suit sous le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":464257,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[7492,7827,24321,12848,5663,4168,4158,4165,4161,133,8154,4157,4159,4171,4170,251,4167,4160,4163,4162,2886,249,164,4394,4172,4169,70368,196,4166,21841,4164],"class_list":["post-464256","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-affirment","tag-autorite","tag-certification","tag-chercheurs","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-letat","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-numerique","tag-ont","tag-par","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-soutenus","tag-une","tag-violation-de-donnees","tag-viole","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/464256","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=464256"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/464256\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/464257"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=464256"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=464256"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=464256"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}