Ces adversaires ont visé des infrastructures critiques et des cibles gouvernementales de toutes dimensions, essentiellement implantées en Asie du Sud et du Sud-Est, parmi lesquelles des fournisseurs d’énergie nucléaire, l’aéroport d’une capitale nationale, un hôpital militaire, la structure de cybersécurité d’un État et plusieurs ministères.

Sophos X-Ops, l’unité de Sophos spécialisée dans la cybersécurité et le renseignement sur les menaces, a tout mis en œuvre pour neutraliser l’activité de ses adversaires, ainsi que perfectionné ses moyens de défense et de contre-offensive dans la région du pourtour pacifique (Pacific Rim). Suite au succès de la réponse apportée aux attaques initiales, les adversaires ont redoublé d’efforts et fait appel à des opérateurs plus expérimentés. C’est ainsi que Sophos a découvert un vaste écosystème de cyberadversaires.

« C’est un fait, les appareils périphériques constituent une cible très attrayante pour les groupes de cyberpirates parrainés par l’État chinois tels que Volt Typhoon, qui cherchent à construire des boîtes de relais opérationnelles (ORB — Operational Relay Boxes) pour masquer et déployer leur activité, qu’il s’agisse de cibler directement une entreprise à des fins d’espionnage ou d’exploiter indirectement tout élément faible dans l’optique de mener ultérieurement des attaques qui provoqueront des dommages collatéraux. Même les entreprises qui ne sont pas des cibles sont ainsi touchées. Les appareils connectés à usage professionnel constituent à cet égard des cibles naturelles, car ils sont à la fois puissants, actifs en permanence et connectés sans interruption », explique Ross McKerchar, CISO de Sophos. « Lorsqu’un groupe cherchant à créer un réseau mondial de boîtes de relais opérationnelles s’est attaqué à certains de nos appareils, nous avons réagi en appliquant les techniques de détection et de réponse que nous utilisons pour défendre nos propres terminaux et appareils connectés. Cette méthode nous a permis de neutraliser plusieurs opérations et d’exploiter un flux précieux de renseignements sur les menaces que nous avons ensuite appliqués pour protéger nos clients contre de futures attaques de grande envergure et des opérations très ciblées. »

Principaux enseignements du rapport
• Le 4 décembre 2018, un ordinateur disposant de privilèges limités connecté à un écran mural a commencé à balayer le réseau de Sophos — apparemment de façon autonome — au siège indien de Cyberoam, société que Sophos a acquise en 2014. Sophos a localisé une application qui écoutait discrètement le trafic Internet spécialisé reçu par l’ordinateur et qui contenait une porte dérobée d’une nouvelle catégorie et « Cloud Snooper », un rootkit complexe.
• En avril 2020, plusieurs entreprises ont signalé une interface utilisateur pointant vers un nom de domaine contenant le mot « Sophos ». La Société a collaboré avec des forces de l’ordre européennes qui ont retrouvé et confisqué le serveur utilisé par les cyberadversaires pour déployer des charges utiles malveillantes dans un logiciel que Sophos a ultérieurement baptisé Asnarök. Attribué à la Chine, Asnarök a été neutralisé par Sophos en prenant le contrôle du canal C2 (Command & Control) du malware, ce qui a également permis à la Société de stopper une vague planifiée d’attaques de botnets.
• Après Asnarök, Sophos a perfectionné ses opérations de renseignement en créant un nouveau programme de suivi des auteurs de menaces focalisé sur l’identification et la perturbation de l’activité des adversaires qui cherchaient à exploiter les appareils déployés par Sophos dans les environnements de ses clients ; ce programme a été créé en combinant des renseignements open source, des outils d’analytique web, des outils de surveillance télémétrique et des implants ciblant le noyau des appareils de recherche et utilisés par les cyberattaquants.
• Ensuite, les cyberattaquants ont affiché un niveau de persistance croissant, élevant leurs tactiques et déployant des malwares de plus en plus furtifs. Cependant, grâce à son programme de suivi des acteurs de la menace et à ses capacités enrichies de collecte de données télémétriques, Sophos est parvenu à anticiper plusieurs attaques, ainsi qu’à obtenir la copie d’un bootkit UEFI et d’exploits personnalisés avant qu’ils soient mis en œuvre à grande échelle.
• Quelques mois plus tard, Sophos a suivi certaines attaques jusqu’à un adversaire qui entretient des liens avec la Chine et Double Helix, un institut de recherche rattaché à la société Sichuan Silence Information Technology basée dans la région de Chengdu.
• En mars 2022, un chercheur en sécurité sous couvert d’anonymat a signalé à Sophos une vulnérabilité zero-day d’exécution de code à distance désignée CVE-2022-1040 dans le cadre du programme Bug Bounty de l’entreprise. Une enquête approfondie a révélé que cette vulnérabilité CVE était déjà exploitée dans plusieurs opérations ; Sophos a ensuite réussi à l’empêcher d’impacter ses clients. À l’issue d’une analyse détaillée, Sophos a identifié que l’individu qui avait signalé l’exploit était susceptible d’entretenir des liens avec les adversaires. C’était en effet la deuxième fois que Sophos recevait un « tuyau » concernant un exploit à un moment suspect, c’est-à-dire avant qu’il soit utilisé à des fins malveillantes.
•
« Les récents avis publiés par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) montrent clairement que les groupes parrainés par la Chine constituent une menace permanente pour les infrastructures critiques nationales », ajoute Ross McKerchar. « Mais nous avons tendance à oublier les petites et moyennes entreprises, qui forment le gros de la chaîne d’approvisionnement des infrastructures critiques et constituent de véritables cibles dans la mesure où elles sont souvent les maillons faibles de cet écosystème. Malheureusement, ces entreprises disposent souvent de ressources insuffisantes pour se protéger contre des menaces aussi sophistiquées. Pour compliquer la situation, ces adversaires ont de plus en plus tendance à s’implanter en profondeur, ce qui rend leur élimination d’autant plus difficile. Le mode opératoire des adversaires basés en Chine est simple : créer une persistance à long terme et lancer des attaques complexes dissimulées. Ils ne s’arrêteront pas tant qu’ils n’auront pas été perturbés ».

Cinq conseils pour les défenseurs

Les entreprises doivent comprendre que tous les appareils connectés à Internet sont des cibles privilégiées pour les adversaires sponsorisés par des États, en particulier les appareils utilisés dans les infrastructures critiques. Sophos encourage les entreprises à prendre les mesures suivantes pour renforcer leur posture de sécurité :
• réduire dans la mesure du possible le nombre de services et d’appareils connectés à Internet ;
• prioriser avec urgence l’application de correctifs aux appareils connectés à Internet et les surveiller ;
• autoriser l’application automatique des correctifs sur les appareils connectés en périphérie de réseau ;
• collaborer avec les forces de l’ordre, les partenaires publics et privés, ainsi que les agences gouvernementales, pour partager et agir sur les indicateurs de compromission (IOC) concernés ;
• élaborer un plan portant sur la manière dont l’entreprise traite ses appareils en fin de vie.