contact@innovations.fr
Publier mon innovation

Sophos : 5 ans à traquer des pirates chinois sur ses pare-feu

Accueil - Technologies et Avenirs - Intelligence Artificielle - Sophos : 5 ans à traquer des pirates chinois sur ses pare-feu
Sophos 5 ans à traquer des pirates chinois sur ses pare feu Innovationsfr
novembre 6, 2024

Sophos : 5 ans à traquer des pirates chinois sur ses pare-feu

L'éditeur de solutions de cybersécurité Sophos a révélé avoir mené une surveillance de longue haleine sur des pirates informatiques chinois ciblant ses propres pare-feu. Pendant près de 5 ans, l'entreprise britannique a ainsi pu analyser en détail les tactiques, techniques et procédures (TTP) utilisées par ces hackers, dévoilant au passage leurs liens présumés avec le pouvoir de Pékin.

Une intrusion initiale dès 2018 chez une filiale indienne

L'histoire commence en 2018, lorsque Sophos détecte une compromission au siège de Cyberoam, sa filiale basée en Inde. Un cheval de Troie est déployé sur un poste à faibles privilèges, servant de point d'entrée. Les investigations poussées révèlent en réalité la présence d'un malware bien plus complexe qu'il n'y paraît, avec notamment un rootkit inédit permettant un accès distant.

Le mode opératoire des pirates montre une volonté de recueillir des informations pour développer des outils ciblant spécifiquement les périphériques réseau de Sophos. Une technique vue par la suite à plus large échelle.

Des pare-feu infectés dans le monde entier

Deux ans plus tard, en 2020, ce sont des dizaines de milliers de pare-feu Sophos qui sont compromis dans le monde. Les attaquants exploitent des vulnérabilités zero-day dans les réseaux étendus, pour déployer des backdoors et constituer des botnets. L'accès leur permet d'exfiltrer des données des appareils et de lancer des charges malveillantes sur les réseaux des victimes.

Face à ce déferlement d'attaques, Sophos riposte en intégrant des dispositifs de surveillance dans le firmware de ses pare-feu. Des appareils "cobayes" sont ainsi transformés en honeypots pour mieux étudier le comportement et les outils des pirates. Cette approche permet de remonter jusqu'à une communauté de recherche en vulnérabilités basée à Chengdu, dans la province du Sichuan.

Une communauté de hackers liée au gouvernement chinois

Parmi les entités identifiées figurent notamment la société "Sichuan Silence Information Technology" et des chercheurs de l'Université des sciences et technologies électroniques de Chine. La première avait déjà été pointée du doigt par Meta en 2020 pour ses activités de désinformation pour le compte de l'État chinois.

Cette communauté collaborerait à la recherche de vulnérabilités et partagerait ses conclusions avec des fournisseurs et des entités associées au gouvernement chinois, y compris des sous-traitants menant des opérations offensives pour le compte de l'État.

- Extrait du rapport de Sophos

D'une approche indiscriminée à un ciblage stratégique

Au fil des années, Sophos observe une évolution dans le mode opératoire des hackers chinois. À partir de 2021, ils délaissent les attaques massives au profit d'opérations bien plus ciblées, visant des entités spécifiques :

  • Agences militaires et infrastructures électriques d'un pays d'Asie du Sud-Est
  • Agence de régulation nucléaire et aéroport dans un autre pays
  • Hôpital militaire et ministères, principalement en Asie du Sud et du Sud-Est

Sophos attribue certaines de ces attaques à trois groupes de pirates réputés proches du gouvernement chinois : APT31, APT41 et Volt Typhoon. Leurs TTPs correspondent en effet à celles observées lors de la campagne désormais baptisée "Pacific Rim" par les chercheurs.

Les périphériques réseau, cibles privilégiées pour l'espionnage

Au-delà du cas Sophos, cette enquête de longue haleine met en lumière la vulnérabilité des équipements réseau aux campagnes de cyberespionnage. Pare-feu, routeurs, VPN... autant de points d'entrée pour des attaquants déterminés, à plus forte raison lorsqu'il s'agit d'appareils en fin de vie ne bénéficiant plus de correctifs de sécurité.

Un constat illustré par les récentes compromissions de produits Fortinet, Palo Alto Networks ou encore Cisco, utilisés comme porte dérobée pour infiltrer les réseaux d'entreprises, d'administrations ou d'opérateurs télécoms. Face à cette menace, une surveillance constante et une réaction rapide s'avèrent indispensables pour éviter des dégâts potentiellement désastreux.

Mots Clés:
Partager:

Steven Soarez Rédacteur Web

Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.

Autres Sujets

Ajouter Un Commentaire

Chercher

Beauty and lifestyle influencer

Follow my journey on all Social Media channels

Alienum phaedrum torquatos nec eu, vis detraxit periculis ex, nihilmei. Mei an pericula euripidis, hinc partem ei est.
facebook
5M+
Facebook followers
Follow Me
youtube
4.6M+
Youtube Subscribers
Subscribe Me
tiktok
7M+
Tiktok Followers
Follow Me
instagram
3.4M+
Instagram Followers
Follow Me