Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Venafi - Cyberespionnage

novembre 2021 par Venafi

Venafi® publie ce jour une nouvelle étude qui analyse les schémas d’attaque du groupuscule de hackers chinois APT41 (également connu sous le nom de Winnti Group), soutenu par son Etat.

L’étude révèle que les membres de APT41 sont passés maîtres dans l’art de l’utilisation illicite de certificats de signature de code dans le but de lancer de plus en plus d’attaques de grande ampleur visant les chaînes d’approvisionnement logiciel :

• APT41 se distingue des autres groupuscules chinois car il exploite à des fins lucratives des programmes malveillants -conçus sur mesure et non accessibles au public- et réservés à des activités d’espionnage. Ces activités interviennent en dehors du périmètre des missions cautionnées par l’Etat chinois.

• Pour garantir le succès de sa technique d’attaque, APT41 a fait des clés et certificats de signature de code (identités machine) sa cible principale.

• Les certificats de signature de code corrompus sont utilisés comme ressource partagée par de grandes équipes de pirates, parce qu’ils permettent d’amplifier l’impact de leurs attaques et d’augmenter considérablement leurs chances de réussite.

• Cette priorité stratégique sur le long terme, est l’un des principaux facteurs gage de réussite pour APT41, dans sa mission de corruption d’une large palette de cibles de haut rang présentes dans des secteurs très divers : santé, télécoms, fournisseurs de logiciels, produits pharmaceutiques, compagnies aériennes, mais aussi gouvernements étrangers.

Venafi prévient que le succès rencontré par l’équipe de APT41, reposant sur son utilisation exclusive de certificats de signature de code volés, va inspirer d’autres groupes de pirates qui lanceront à leur tour des attaques de même nature visant la chaîne d’approvisionnement logiciel. Les entreprises doivent donc se préparer à affronter d’autres groupes financés par des Etats-nations, utilisant abusivement des certificats d’identités machine.

« APT41 s’est maintes fois servi de certificats d’authentification pour orchestrer une chaîne d’attaques de haute volée, au service d’intérêts politiques et militaires chinois sur le long terme », commente Yana Blachman, chercheuse experte des menaces chez Venafi. « Les certificats d’identification permettent à des portions de code d’avoir l’air authentiques et, ce faisant, d’échapper aux contrôles. Le succès des attaques de ces dix dernières années reposant sur cette technique, a servi de base à d’autres attaques plus sophistiquées, encore plus fructueuses car plus difficiles à repérer. Depuis les attaques qui ont ciblé l’utilitaire de nettoyage CCleaner de Windows en 2018 et l’utilitaire de mise à jour ASUS LiveUpdate en 2019, les techniques du groupe APT41 gagnent en efficacité. Chaque fournisseur de logiciels doit être conscient de l’existence d’une telle menace et prendre les mesures nécessaires pour protéger ses environnements de développement de logiciels ».

APT41 a une méthode privilégiée : la corruption de la chaîne
d’approvisionnement des éditeurs de logiciels commerciaux. Cette approche leur permet de cibler avec une grande efficacité des victimes précises, parmi un vivier d’entreprises qui utilisent des logiciels commerciaux. APT41 se sert ensuite d’un second programme malveillant pour infecter ces victimes particulièrement intéressantes à des fins de cyberespionnage. Une fois son travail de corruption fini, APT41 s’infiltre dans les réseaux de ses victimes à l’aide d’identifiants et de différents outils de reconnaissance, tous volés. APT41 utilise des programmes malveillants spécifiques pour s’emparer d’actifs de propriété intellectuelle et de données clients de grande valeur, uniquement auprès de ces cibles spécifiques.

Les certificats de signature de code utilisés pour les identités machine sont au cœur des techniques d’attaque de APT41 : le gang gère activement une librairie de certificats de signature de code et de clés, tous dérobés. Afin de toujours disposer d’un stock conséquent, il en achète aussi auprès de fournisseurs de marketplaces opérant dans le dark web et d’autres groupuscules chinois. Une précédente étude réalisée par Venafi montrait qu’il est possible de se procurer des certificats de signature de code dans le dark web, à des prix allant jusqu’à 1200 dollars l’unité.

« Aujourd’hui, les attaquants sont des développeurs de logiciels hautement qualifiés et très disciplinés, qui se servent des mêmes outils et techniques que les autres professionnels vertueux », souligne Kevin Bocek, vice-président en charge de la stratégie de sécurité et de la recherche sur les menaces chez Venafi. « Ils savent que les vulnérabilités présentes dans l’environnement de build logiciel sont faciles à exploiter. Ils ont passé des années à développer, tester et perfectionner les outils dont ils ont besoin pour s’emparer des signatures de code (identités des machines). Cette étude vise à sonner l’alarme auprès des dirigeants et conseils d’administration de toutes les entreprises, dans la mesure où chacune d’elle a une activité de développement de logiciels. Le moment est venu de prendre très au sérieux la protection des identités machines et des certificats de signature de code associés. »


Voir les articles précédents

    

Voir les articles suivants