Cybersécurité : Une veille de cinq ans sur les attaques des hackers chinois visant les pare-feu de Sophos
AccueilActualitésCybersécurité : Une veille de cinq ans sur les attaques des hackers chinois visant les pare-feu de Sophos
Actualités

Cybersécurité : Une veille de cinq ans sur les attaques des hackers chinois visant les pare-feu de Sophos

Par Francois , le 8 novembre 2024 , mis à jour le 9 novembre 2024 — attaques informatiques, cybersécurité, hackers chinois, pare-feu, sophos - 4 minutes de lecture
Partager cet article :

En matière de cybersécurité, la société britannique Sophos a consacré cinq ans à une surveillance minutieuse des activités de groupes de pirates informatiques affiliés à l’État chinois. Ces cybercriminels ont déployé des techniques sophistiquées pour cibler les pare-feu de Sophos. L’investigation a révélé l’usage de botnets et de logiciels malveillants, tout en mettant en lumière les tactiques, techniques et procédures (TTP) de ces groupes, notamment APT31, APT41 et Volt Typhoon. Au cœur de cette enquête, les périphériques réseau apparaissent comme la porte d’entrée prisée par ces hackers, exploitant des vulnérabilités critiques et souvent des systèmes en fin de vie. Sophos a ainsi mis en place des dispositifs de surveillance pour anticiper et déjouer ces menaces, illustrant l’importance des solutions de sécurité avancées, telles que l’EDR, le XDR et les exigences en matière de suivi continu dans un paysage de menaces en perpétuelle évolution.

Depuis cinq ans, l’entreprise britannique Sophos est engagée dans une lutte acharnée contre des cybercriminels associés à l’État chinois. Des pirates ont exploité des failles de sécurité dans les pare-feu Sophos, afin de mener des opérations d’espionnage à grande échelle. L’incident initial, impliquant l’installation d’un logiciel malveillant à distance, a marqué le début d’une traque complexe des groupes de hackers chinois. Les résultats de cette enquête ont conduit à la découverte de vulnérabilités critiques dans les périphériques réseau, et d’une collaboration de recherche à Chengdu. Voici un aperçu des interdépendances et stratégies identifiées par Sophos.

La découverte des activités de cyberespionnage

Sophos a publié un rapport détaillant comment des pirates informatiques, soutenus par le gouvernement chinois, ont mené des actions de surveillance et de cyberespionnage. En 2018, une intrusion a été détectée au sein de Cyberoam, une filiale de Sophos située en Inde. Les hackers ont utilisé un cheval de Troie d’accès à distance pour accéder aux systèmes, ce qui initialement semblait être un incident mineur s’est avéré être l’œuvre d’un rootkit complexe et inconnu jusqu’alors.

Lire aussi :  Cybersécurité : Pourquoi il est crucial de se prémunir contre les attaques, qu'elles visent des cibles civiles ou militaires

Exploitation des infrastructures cloud

Exploitation des infrastructures cloud

Les cybercriminels ont développé des méthodes innovantes pour compromettre des structures cloud, en exploitant notamment un service AWS mal configuré. Les chercheurs de Sophos estiment que cela représentait un effort initial visant à recueillir des données pour le développement ultérieur de logiciels malveillants ciblant les périphériques de réseau.

L’analyse approfondie des cybercriminels

Deux ans après les premières attaques, Sophos a intensifié son enquête lorsqu’une multitude de pare-feu à travers le monde ont été infectés par des botnets. Les hackers ont usé de vulnérabilités 0-day pour infiltrer des réseaux étendus WAN, accédant ainsi à des données sensibles et déployant des logiciels malveillants sur les réseaux locaux.

La connexion Sichuan

La connexion Sichuan

L’enquête a mené Sophos à une communauté de recherche dans le Sichuan, impliquant des institutions à Chengdu, telles que “Sichuan Silence Information Technology” et l’Université des sciences et technologies électroniques. Ces entités ont été identifiées lors d’une analyse de liens avec des sous-traitants pratiquant des opérations offensives pour le gouvernement chinois.

Infrastructures et cibles spécifiques

Sophos a suivi la progression de ces attaques, notant un changement stratégique à partir de 2021 avec des offensives très ciblées. Les pirates ont ciblé des infrastructures nucléaires, des ports aériens, des agences militaires et des infrastructures électriques en Asie du Sud-Est. Cela a permis de dévoiler les connexions avec des groupes comme APT31, APT41 et Volt Typhoon, reconnus pour avoir mené des attaques sur des produits Cyberoam et infiltré des infrastructures critiques aux États-Unis.

Les périphériques réseau : un point vulnérable

Les périphériques réseau : un point vulnérable

Le rapport de Sophos met en avant la vulnérabilité des périphériques réseau face aux cyberattaques. Cela a été souligné par le démantèlement par le FBI d’un botnet chinois de 260 000 appareils, utilisé pour l’espionnage auprès d’agences gouvernementales et d’autres institutions. Les périphériques en fin de vie, ne recevant plus de mises à jour de sécurité, représentent une porte d’entrée idéale pour les hackers.

Lire aussi :  Canberra enquête sur un «problème» de cybersécurité avec Ticketmaster : Quel danger caché menace-t-il votre sécurité en ligne ?
Avatar photo

Francois

Bonjour, je m'appelle François et j'ai 29 ans. Je suis passionné par le scripting, le bash, le Powershell et les infrastructures Windows et Linux. Bienvenue sur mon site web.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.