Mandiant s’appuie sur une analyse précédente dans laquelle les experts Mandiant estimaient que les tactiques des opérateurs chinois de cyberespionnage avaient régulièrement évolué pour devenir plus agiles, plus furtives et plus complexes à identifier dans les années qui ont suivi la restructuration de l’armée et des services de renseignement au milieu des années 2010. L’étude cite l’utilisation accrue des techniques « living-off-the-land » (LotL), la compromission de la chaîne d’approvisionnement en logiciels et les logiciels malveillants accessibles au public, sans fichier ou modulaires, comme preuves d’une furtivité accrue.

La Chine se concentre sur les logiciels de mise en réseau, de sécurité et de virtualisation

Mandiant Intelligence estime avec une grande certitude que l’exploitation des zero-day du cyberespionnage chinois en 2021 et 2022 s’est concentrée sur les technologies de sécurité, de mise en réseau et de virtualisation, car le ciblage de ces dispositifs offre plusieurs avantages tactiques pour obtenir et conserver un accès subreptice aux réseaux des victimes. Par exemple, les dispositifs de sécurité et de mise en réseau sont des « périphériques », c’est-à-dire qu’ils sont accessibles à l’internet. Avec un exploit réussi, un attaquant peut obtenir un accès initial sans interaction humaine, ce qui réduit les chances de détection. Tant que l’exploit n’est pas découvert, l’auteur de la menace peut le réutiliser pour accéder à d’autres victimes ou rétablir l’accès aux systèmes ciblés. En outre, les appareils périphériques et les logiciels de virtualisation sont difficiles à surveiller et peuvent ne pas prendre en charge les solutions de détection et de réponse des endpoints (EDR) ou les méthodes de détection des modifications ou de collecte d’images médico-légales, ce qui réduit encore les chances de détection et complique l’attribution des responsabilités. Deux campagnes récentes illustrent les stratégies notables utilisées par les acteurs chinois de la menace pour maximiser la furtivité, y compris, mais sans s’y limiter, l’exploitation d’un zero-day.

UNC3886 a détruit deux zero-days dans des opérations complexes contre des cibles difficiles

En 2022, Mandiant a enquêté sur des incidents au cours desquels UNC3886, acteur présumé du cyberespionnage chinois, a utilisé de multiples voies d’attaque et deux vulnérabilités zero-day pour établir une persistance au sein des organisations ciblées et finalement accéder à des environnements virtualisés. L’UNC3886 a principalement ciblé la base industrielle de défense (DIB), la technologie et les organisations de télécommunications aux États-Unis et en Asie.

UNC3886 a pris des mesures extraordinaires pour ne pas être détecté dans les environnements des victimes. Les attaquants ont limité leur présence sur les réseaux aux dispositifs de sécurité Fortinet et aux technologies de virtualisation VMware, des dispositifs et des plates-formes traditionnellement dépourvus de solutions EDR. Les logiciels malveillants et les exploits personnalisés du groupe ont donné la priorité au contournement des journaux et des contrôles de sécurité, par exemple en utilisant des protocoles non traditionnels (sockets VMCI) qui ne sont pas enregistrés par défaut et qui n’ont pas de restrictions de sécurité pour interagir entre les hyperviseurs et les machines virtuelles invitées (VM). UNC3886 a également effacé et modifié des journaux et désactivé la vérification du système de fichiers au démarrage pour éviter d’être détecté.

· Le hacker a utilisé des familles de logiciels malveillants conçues pour interagir avec les dispositifs Fortinet, notamment THINCRUST, CASTLETAP, TABLEFLIP et REPTILE. UNC3886 a tiré parti de la vulnérabilité de traversée de chemin CVE-2022-41328 pour écraser des fichiers légitimes dans un répertoire système normalement restreint.

· Ayant accès aux dispositifs Fortinet des organisations ciblées, l’acteur de la menace a interagi avec les serveurs VMware vCenter et a tiré parti de bundles d’installation vSphere (« VIB ») malveillants pour installer les portes dérobées personnalisées VIRTUALPITA et VIRTUALPIE sur les hyperviseurs ESXi. UNC3886 a exploité une vulnérabilité de contournement d’authentification CVE-2023-20867 sur les hôtes ESXi pour permettre l’exécution de commandes privilégiées sur les machines virtuelles invitées sans qu’aucun journal supplémentaire ne soit généré sur les machines virtuelles invitées.

Mandiant recommande aux entreprises utilisant ESXi et la suite d’infrastructure VMware de suivre les étapes de renforcement décrites dans cet article pour minimiser la surface d’attaque des hôtes ESXi, et de se référer à ce guide supplémentaire qui présente les possibilités de détection, de confinement et de renforcement pour contrer les opérations UNC3886 observées.

L’exploitation UNC4841 de Barracuda ESG a commencé de manière furtive, puis est devenue agressive

Depuis au moins octobre 2022, l’auteur présumé du cyberespionnage chinois UNC4841 a exploité une vulnérabilité zero-day, CVE-2023-2868, dans les appliances Barracuda Email Security Gateway (ESG) dans le cadre d’une campagne ciblant des organisations publiques et privées dans le monde entier. Dans plusieurs cas, Mandiant a observé que l’acteur recherchait des données de messagerie intéressantes avant de les mettre en scène pour les exfiltrer. Le pirate a montré un intérêt particulier pour les informations présentant un intérêt politique ou stratégique pour la Chine. Il a notamment ciblé, à l’échelle mondiale, des gouvernements et des organisations associés à des secteurs d’activité hautement prioritaires pour la Chine. En outre, dans l’ensemble des entités sélectionnées pour l’exfiltration ciblée de données, des scripts shell ont été découverts qui ciblaient des domaines de messagerie et des utilisateurs des ministères des affaires étrangères des pays membres de l’ANASE, ainsi que des personnes travaillant dans des bureaux de commerce extérieur et des organismes de recherche universitaire à Taïwan et à Hong Kong.

L’UNC4841 a cherché à dissimuler certains éléments de son activité de plusieurs manières. En plus de continuer à cibler un dispositif de sécurité, UNC4841 a envoyé des emails avec des pièces jointes de fichiers TAR spécialement conçus qui exploitaient CVE-2023-2868 et permettaient aux attaquants d’exécuter des commandes système arbitraires avec les privilèges élevés du produit ESG. Mandiant estime que la ligne d’objet et le corps des emails envoyés par UNC4841 dans le cadre de cette campagne ont probablement été conçus pour être pris dans les filtres anti-spam et décourager toute investigation supplémentaire. Mandiant a déjà observé par le passé des groupes avancés exploitant des failles de sécurité utiliser cette tactique. UNC4841 a également développé des logiciels malveillants personnalisés utilisant des conventions de dénomination conformes aux fichiers ESG légitimes (notamment SALTWATER, SEASIDE, SEASPY) et a inséré un code de porte dérobée personnalisé dans des modules Barracuda légitimes (notamment SEASPRAY et SKIPJACK). Dans certains cas, UNC4841 a utilisé des certificats temporaires SSL auto-signés légitimes qui sont livrés sur les appliances ESG à des fins d’installation, ainsi que des certificats volés dans les environnements des victimes pour masquer le trafic de commande et de contrôle (C&C).

SEASPY attack path

Un autre élément remarquable de cette campagne a été la réaction agressive du hacker aux efforts de remédiation et à la publication de l’activité. Après la divulgation de la vulnérabilité par Barracuda et les premières mesures correctives, UNC4841 a riposté en modifiant rapidement ses logiciels malveillants, en employant des mécanismes de persistance supplémentaires et en se déplaçant latéralement pour tenter de conserver l’accès aux environnements compromis. Barracuda recommande actuellement de remplacer les appareils compromis. Mandiant a également publié en début d’année un guide de durcissement, de remédiation et de chasse pour les appareils Barracuda ESG.

Autres exemples

Les études de cas précédentes ne représentent que deux exemples parmi une liste croissante d’incidents et de campagnes de cyberespionnage chinois notables exploitant des failles dans les produits de sécurité et de réseau.

· Mandiant a décrit l’exploitation de CVE-2022-42475, une vulnérabilité dans le FortiOS SSL-VPN de Fortinet, la preuve la plus ancienne datant d’octobre 2022.

· En décembre 2022, Citrix a signalé l’exploitation in-the-wild de la CVE-2022-27518 dans son contrôleur de livraison d’applications (ADC), que l’Agence nationale de sécurité américaine (NSA) a attribuée à APT5.

· En mars 2022, Sophos a signalé l’exploitation in-the-wild de CVE-2022-1040 dans son produit Firewall, que Volexity a lié à des acteurs chinois du cyberespionnage.

· Mandiant a enquêté sur de multiples intrusions survenues entre août 2020 et mars 2021 et impliquant l’exploitation de CVE-2021-22893 dans Pulse Secure VPNs.

· En mars 2021, Mandiant a identifié trois vulnérabilités zero-day qui ont été exploitées dans le produit Email Security (ES) de SonicWall (CVE-2021-20021, CVE-2021-20022, CVE-2021-20023).

Les acteurs chinois déguisent le trafic externe et interne à l’aide de réseaux de zombies et de tunnels

Plus fréquemment au cours des trois dernières années, Mandiant a identifié des exemples d’opérations de cyberespionnage chinoises utilisant des botnets d’appareils de l’internet des objets (IoT), des appareils intelligents et des routeurs compromis pour masquer le trafic externe entre l’infrastructure C&C et les environnements des victimes, ainsi que de nombreuses familles de logiciels malveillants qui comprennent des fonctionnalités permettant de relayer secrètement le trafic de l’attaquant au sein des réseaux compromis. Mandiant estime que les opérateurs utilisent ces tactiques pour échapper à la détection et pour compliquer l’attribution.

Le botnet comme écran de fumée

Mandiant a identifié un certain nombre d’exemples de groupes de cyberespionnage chinois utilisant des botnets pour obscurcir le trafic entre les attaquants et les réseaux des victimes, notamment APT41, APT31, APT15, TEMP.Hex et Volt Typhoon.

· En mai 2023, Microsoft a signalé une activité de cyberespionnage chinoise baptisée « Volt Typhoon » ciblant des organisations d’infrastructures critiques aux États-Unis. En conjonction avec d’autres techniques, probablement destinées à limiter les possibilités de détection, l’acteur de la menace aurait utilisé un botnet d’appareils SOHO compromis pour acheminer le trafic réseau.

o Mandiant estime que l’activité décrite dans le rapport de Microsoft recoupe en grande partie un groupe d’activités ayant ciblé des organisations gouvernementales et de transport, ainsi qu’exploité une vulnérabilité récemment divulguée dans Zoho ADSelfService Plus.

· En 2023, CheckPoint a décrit un groupe de cyberespionnage chinois présumé qu’il qualifie de « Camaro Dragon » utilisant une porte dérobée personnalisée baptisée « Horse Shell » dans le cadre d’activités ciblant des organisations européennes des affaires étrangères. Horse Shell est un implant malveillant qui a été découvert dans une image modifiée du micrologiciel d’un routeur TP-Link. Il permet à l’attaquant d’établir un proxy SOCKS crypté SSH et de transférer des fichiers. CheckPoint estime que l’acteur de la menace a infecté des routeurs résidentiels pour obscurcir le trafic entre les serveurs de commande et de contrôle et les victimes compromises. Mandiant n’a pas vérifié cette activité de manière indépendante, mais l’infrastructure réseau signalée présente des chevauchements limités avec les rapports publics suivi en tant que TEMP.Hex.

· En 2022, PricewaterhouseCoopers (PwC) a fait état du logiciel malveillant BPFDOOR, qui aurait reçu des commandes de serveurs privés virtuels (VPS) contrôlés par un réseau de routeurs compromis basés à Taïwan.

o Mandiant a observé des preuves qu’un groupe d’activités potentiellement lié à APT41 a utilisé BPFDOOR pour cibler des organisations gouvernementales d’Asie du Sud et une multinationale chinoise.

· PwC a également déclaré avoir observé l’acteur chinois de cyberespionnage Red Vulture utilisant un réseau proxy partagé surnommé RedRelay en 2021 et 2022. Red Vulture est décrit comme correspondant à APT15, APT25 et Ke3chang.

· Les autorités françaises et américaines ont publié des rapports publics mettant en évidence l’exploitation par des acteurs parrainés par l’État chinois de dispositifs réseau tels que les routeurs de petits bureaux/bureaux à domicile (SOHO) pour acheminer le trafic entre l’infrastructure C&C et les réseaux des victimes (voir figure 4). L’avis américain de 2022 mentionne également l’exploitation de dispositifs de stockage en réseau (NAS). L’avis français de 2021 décrit une campagne spécifique qu’il attribue à APT31.

· ESET aurait observé une porte dérobée Linux qu’elle repère sous le nom de SideWalk utilisée pour compromettre une université de Hong Kong en février 2021. ESET pense que SideWalk est exclusivement utilisé par l’APT SparklingGoblin. Bien qu’elle n’ait pas été en mesure d’identifier avec certitude le vecteur d’infection initial de cette opération, elle a émis l’hypothèse qu’il pourrait s’agir de l’exploitation d’une vulnérabilité de routeur en raison de chevauchements significatifs entre SideWalk et un logiciel malveillant de botnet, baptisé Specter, que Netlab 360 a décrit en septembre 2020. Specter se propagerait en exploitant des vulnérabilités dans les appareils AVTECH de type caméra IP, NVR et DVR.

o Mandiant attribue la plupart des activités décrites par ESET à APT41. La famille de logiciels malveillants SideWalk est suivie sous le nom de MOPSLED et son chargeur sous le nom de DUSTPAN. APT41 et UNC3886 a utilisé MOPSLED. MOPSLED est considéré comme une évolution de CROSSWALK, qui peut agir comme un proxy réseau.

Votre routeur est mon routeur

Mandiant a également relevé des preuves que des opérateurs de cyberespionnage chinois présumés déploient des logiciels malveillants personnalisés pour relayer et déguiser le trafic au sein des réseaux des victimes, par exemple en utilisant le DNS, le HTTP et le détournement du TCP/IP.

Logiciels malveillants

ZuoRAT
En juin 2023, les laboratoires Black Lotus de Lumen ont décrit un cheval de Troie d’accès à distance en plusieurs étapes, baptisé "ZuoRAT", qu’ils ont observé en train d’exploiter des vulnérabilités connues affectant les routeurs SOHO d’Asus, de Cisco, de DrayTek et de Netgear dans toute l’Amérique du Nord et l’Europe. Selon les chercheurs, "ZuoRAT est un fichier MIPS compilé pour les routeurs SOHO qui peut énumérer un hôte et un réseau local interne, capturer les paquets transmis par l’appareil infecté et effectuer des attaques de type "adversary-in-the-middle" (détournement de DNS et de HTTPS sur la base de règles prédéfinies)". Les chercheurs affirment également avoir identifié des routeurs infectés agissant comme des nœuds C&C proxy. Mandiant n’a pas vérifié cette activité de manière indépendante.

DELIMEAT
Au début de l’année 2022, Symantec a décrit un logiciel malveillant appelé Daxin, capable de détourner des canaux cryptés TCP/IP légitimes et de relayer ses communications sur des machines infectées au sein d’un réseau ciblé. Symantec indique notamment que le premier échantillon de ce logiciel malveillant qu’elle a identifié date de 2013. Mandiant suit les éléments de Daxin sous le nom de DELIMEAT.

EYEWELL
EYEWELL, un malware TEMP.Overboard déployé principalement contre des cibles gouvernementales et technologiques taïwanaises, contient une capacité de proxy passif qui peut être utilisée pour relayer le trafic d’autres systèmes infectés par EYEWELL au sein d’un environnement victime. Mandiant a notamment signalé qu’un logiciel malveillant TEMP.Overboard identifié en 2019 et présentant des similitudes avec EYEWELL comprenait également une fonctionnalité personnalisée pour désactiver une partie de la liste des processus et de la fonctionnalité réseau d’un produit de sécurité des points finaux.

HYPERBRO and FOCUSFJORD
Dans une analyse des intrusions d’UNC215 contre des cibles du Moyen-Orient et d’Asie centrale en 2019 et 2020, Mandiant a relevé des éléments indiquant qu’UNC215 avait apporté des modifications techniques à HYPERBRO et FOCUSFJORD pour y intégrer la capacité d’agir comme des proxys et de relayer les communications vers leurs serveurs C&C, probablement pour minimiser le risque de détection et se fondre dans le trafic normal du réseau.

LOOTALLEY
En 2019, Mandiant a identifié des échantillons de la porte dérobée LOOTALLEY contenant un module susceptible de permettre le détournement de HTTP ou d’autres fonctionnalités de l’adversaire au milieu (AiTM). LOOTALLEY a été observé dans des opérations de cyberespionnage chinoises présumées visant probablement des entreprises étrangères opérant en Chine et d’autres cibles nationales d’intérêt.

L’utilisation de réseaux de zombies, l’acheminement du trafic par proxy dans un réseau compromis et le ciblage des équipements périphériques ne sont pas des tactiques nouvelles et ne sont pas non plus l’apanage des acteurs chinois du cyberespionnage. Toutefois, au cours des dix dernières années, Mandiant a observé que l’utilisation de ces tactiques et d’autres par les acteurs du cyberespionnage chinois s’inscrivait dans le cadre d’une évolution plus large vers des opérations plus ciblées, plus furtives et plus efficaces. Il est possible que la restructuration de l’armée et des services de renseignement, les preuves d’un partage des infrastructures de développement et de logistique, ainsi que les structures juridiques et institutionnelles qui orientent la recherche sur les vulnérabilités par l’intermédiaire des autorités gouvernementales indiquent que des investissements à long terme ont été réalisés pour doter les cyberopérateurs chinois de tactiques, d’outils et d’exploits plus sophistiqués afin d’obtenir des taux de réussite plus élevés pour obtenir et conserver l’accès à des réseaux de grande valeur. Les exemples présentés ici montrent que ces investissements portent leurs fruits.