Actu
Cyber espionnage : GALLIUM étend son ciblage aux secteurs des télécommunications, du gouvernement et de la finance avec le nouvel outil PingPull
juin 2022 par Unit 42, de Palo Alto Networks
L’Unit 42 de Palo Alto Networks dévoile sa nouvelle analyse sur une nouvelle campagne d’espionnage APT chinoise active de GALLIUM (également connu sous le nom de Softcell) qui cible les fournisseurs de services Internet et de télécommunications (FAI) au niveau national dans 9 pays.
Ce qu’il faut retenir :
– L’Unit 42 a constaté que le groupe a élargi son ciblage pour inclure les institutions financières et les entités gouvernementales.
– Le groupe a également commencé à utiliser un nouveau RAT (cheval de Troie d’accès à distance) nommé PingPull.
– PingPull a la capacité de communiquer avec son serveur de commande et de contrôle via ICMP, ce qui le rend plus difficile à détecter, car peu d’organisations mettent en œuvre l’inspection du trafic ICMP sur leurs réseaux.
Selon l’Unit 42, GALLIUM a ciblé 9 pays : Afghanistan, Australie, Belgique, Cambodge, Malaisie, Mozambique, Philippines, Russie et Vietnam. L’activité comprend :
– Le mois dernier, L’Unit 42 a observé Gallium initier plus de 2 600 tentatives de connexion dans 16 agences et bureaux gouvernementaux différents des Philippines.
– Une banque russe
– Entre le 20 avril et aujourd’hui, les acteurs de Gallium ont ciblé des entités gouvernementales aux Philippines, en Malaisie et au Mozambique.
– En plus du ciblage élargi, l’Unit 42 voit toujours le ciblage des fournisseurs de services Internet et des fournisseurs de télécommunications au niveau national via GALLIUM.
L’Unit 42 partage cette recherche afin de faire connaître cette APT qui a largement opéré sous le radar, tout en ciblant le tissu central de l’internet (les fournisseurs de télécommunications nationaux) et les institutions gouvernementales. De plus, l’Unit 42 publie les IOC actuels (actifs au cours des 30 derniers jours) pour permettre aux organisations d’identifier les compromis potentiels et, en fin de compte, de se défendre contre ce groupe de menaces.
GALLIUM est actif depuis 2012 et a été nommé par Microsoft lors de sa publication sur le groupe en 2019. Depuis, un seul autre fournisseur (CyberReason) a publié sur ce groupe, démontrant ainsi sa capacité à opérer en grande partie dans l’ombre sans être détecté.L’Unit 42 met également ici en lumière la collaboration active entre l’Unit 42, le Centre de collaboration sur la cybersécurité de la NSA, le Centre australien de cybersécurité et d’autres partenaires gouvernementaux sur cette recherche.
