Découvrez comment des cyberacteurs liés à la Chine lancent des campagnes secrètes, ciblant les fournisseurs de logiciels du monde entier avec des logiciels malveillants avancés afin de compromettre les données sensibles et de perturber les opérations.
Publié le par Franck F.

Campagnes cybernétiques secrètes : Des entités liées à la Chine ciblent les fournisseurs de logiciels à l'aide de logiciels malveillants sophistiqués

Des opérations très ciblées liées à des acteurs liés à la Chine se sont déplacées vers l'amont, infiltrant des fournisseurs de logiciels, des prestataires de services gérés et des conseillers juridiques afin d'atteindre des cibles conséquentes en aval. La télémétrie de Google et de Mandiant a révélé une activité continue qui exploite des portes dérobées furtives et de longues durées d'immobilisation, permettant l'exfiltration de code source, de correspondance privilégiée et de renseignements stratégiques. Les incidents combinent la réflexion sur la chaîne d'approvisionnement et l'habileté des patients, en exploitant des dispositifs et des systèmes périmétriques qui ne peuvent pas fonctionner avec la détection conventionnelle des points finaux. Cette analyse, qui s'apparente à un rapport, présente les techniques observées, les attributions des acteurs, les recommandations en matière de détection et les implications géopolitiques liées à ces cybercampagnes secrètes.

Campagnes cybernétiques secrètes : Aperçu tactique et conclusions immédiates

Le paysage des cybercampagnes secrètes montre une préférence marquée pour l'infiltration des fournisseurs de services en tant que multiplicateur d'accès. Les attaquants compromettent les fournisseurs de logiciels, les plateformes SaaS et les sociétés de services juridiques pour pénétrer dans les réseaux des clients, une tactique qui augmente de façon exponentielle la valeur de chaque intrusion initiale. Les recherches du Google's Threat Intelligence Group (GTIG) et de Mandiant révèlent que cette tactique a été appliquée à plusieurs reprises lors d'incidents récents.

Les principales caractéristiques opérationnelles de ces cybercampagnes clandestines sont les suivantes : temps d'arrêt prolongé, ciblage sélectif des boîtes aux lettres privilégiées et vol du code source des principaux produits de l'entreprise. Les victimes découvrent souvent les intrusions après la fermeture des fenêtres de conservation automatique des journaux, ce qui complique l'attribution et la reconstitution médico-légale. La durée moyenne de conservation observée dans certains cas a atteint 393 jours, ce qui a permis aux attaquants de recueillir des renseignements et de préparer le terrain pour des opérations secondaires.

Liens et schémas d'acteurs observés dans les cybercampagnes secrètes

De nombreuses équipes liées à la Chine ont été associées à ces opérations, partageant souvent des outils et des techniques.

  • UNC5221 - fréquemment observé en tant qu'acteur principal dans de nombreuses intrusions, caractérisé par une sécurité opérationnelle rigoureuse et une infrastructure distribuée.
  • APT41 - précédemment liée aux tactiques de la chaîne d'approvisionnement et aux approches C2 créatives ; remarquable pour l'exploitation opportuniste des services en nuage.
  • Winnti Group et APT10 - acteurs historiques de la chaîne d'approvisionnement dont les techniques inspirent la tradecraft actuelle.
  • Charming Kitten et Mustang Panda - acteurs régionaux ayant un passé d'espionnage pour le compte de services de renseignements politiques et d'entreprises.
  • Cloudhopper, Double Dragon, BlackTech, ShadowPad et RedEcho - des noms qui apparaissent dans l'analyse des TTP qui se chevauchent et de la réutilisation des infrastructures.

Ces groupes n'opèrent pas de manière isolée. Le partage des outils, la variabilité des charges utiles et la permutation des procédures opérationnelles rendent difficile l'établissement d'une correspondance directe. Il en résulte que les défenseurs du réseau doivent partir du principe que les boîtes à outils sont modulaires et que les acteurs sont réutilisés lorsqu'ils trient les incidents.

Type d'actif Pourquoi attrayant ? Tactiques observées
Fournisseurs de SaaS Une seule infraction entraîne l'accès en cascade à de nombreux clients Vol de données d'identification, abus d'API, recherche dans les boîtes aux lettres
Fournisseurs de logiciels (code source) Le code source révèle des vulnérabilités et un effet de levier sur la chaîne d'approvisionnement Exfiltration, recherche dans les boîtes aux lettres, persistance furtive
Dispositifs périmétriques (VPN, IVR) Les dispositifs de périphérie ne sont pas dotés d'un EDR, mais servent de points d'appui persistants Exploitation des CVE connus, implantation d'une porte dérobée Brickstorm

Les conclusions opérationnelles mettent l'accent sur la priorisation rapide de l'infrastructure de pointe, la défense en profondeur autour du courrier électronique et du contrôle des sources, et l'examen ciblé du code lorsque les violations des fournisseurs sont confirmées. Pour les organisations qui cherchent à renforcer leur base, la formation des entreprises et les programmes de cyberhygiène sont des étapes essentielles ; des ressources telles que les plans de formation des entreprises sont disponibles à l'adresse https://www.dualmedia.com/corporate-cybersecurity-training/ et des guides pratiques de cyberhygiène à l'adresse https://www.dualmedia.com/cybersecurity-cyber-hygiene/.

Aperçu : Les cybercampagnes secrètes visent les points d'appui de grande valeur ; la protection des gardiens - les écosystèmes de logiciels libres et de fournisseurs - réduit le rayon d'action global.

Campagnes cybernétiques secrètes : Ciblage de la chaîne d'approvisionnement et des fournisseurs de logiciels

Le ciblage de la chaîne d'approvisionnement est au cœur du calcul stratégique des cybercampagnes secrètes. La compromission d'un fournisseur de logiciels bien connecté peut donner un accès privilégié à de multiples cibles en aval et la possibilité de récupérer le code source du produit. Dans des cas avérés, les attaquants sont passés des environnements des fournisseurs aux systèmes des clients et ont spécifiquement cherché dans les boîtes de réception des développeurs des preuves de l'existence de failles dans les produits.

LIRE  Comment protéger votre vie privée en ligne

Le vol de code source a des objectifs multiples : découverte de candidats au jour zéro, réplication d'environnements de construction pour des mises à jour troyennes et développement d'exploits sur mesure adaptés aux déploiements de la victime. Cette approche reflète les tactiques observées dans des incidents historiques tels que SolarWinds, mais en mettant davantage l'accent sur une présence furtive et à long terme et sur une exfiltration sélective.

Mécanismes du pivot entre le vendeur et le client dans les cybercampagnes secrètes

Les vecteurs et les séquences typiques sont les suivants

  1. Accès initial via le périmètre et les appareils d'accès à distance, souvent en exploitant des CVE publiées ou de type "zero-day" dans les piles VPN et les appareils de périphérie.
  2. Déploiement d'une porte dérobée sur des systèmes dépourvus de capacités EDR (par exemple, hôtes hyperviseurs, passerelles de courrier électronique, scanners de vulnérabilité).
  3. Déplacement vers le contrôle des sources et les boîtes aux lettres des développeurs afin de localiser les défauts du produit et les informations d'identification.
  4. Pivoter vers des clients ciblés en aval en fonction de la valeur de l'intelligence.

Ivanti Connect Secure et d'autres dispositifs d'accès à distance similaires ont été à plusieurs reprises la cible d'un accès initial. Les défenseurs devraient corréler les tendances connues en matière d'exploitation des CVE avec les cycles de correctifs des fournisseurs et auditer les journaux d'accès à distance pour détecter toute activité anormale.

Stade Objectifs Priorités défensives
Compromis initial VPN, ESXi, passerelles de courrier électronique Gestion des correctifs, AMF, segmentation du réseau
Persistance Portes dérobées sur des hôtes non EDR Analyse des sauvegardes, règles YARA, contrôles d'intégrité hors ligne
Découverte et exfiltration Contrôle de la source, boîtes aux lettres Journalisation cryptée, DLP, politiques d'intégrité du code

Liste des actions immédiates recommandées aux fournisseurs qui soupçonnent une compromission :

  • Exécuter des analyses ciblées sur les artefacts connus et les indicateurs de porte dérobée Brickstorm ; Google a publié des outils d'analyse et des règles YARA pour faciliter la découverte.
  • Conservez et exportez immédiatement les journaux pour éviter qu'ils ne soient effacés en permanence ; concentrez-vous sur les journaux d'accès à distance et sur l'activité du serveur de construction.
  • Effectuer des audits de l'intégrité du code et examiner les modifications récentes pour détecter les changements suspects ou les intégrations non autorisées.
  • Notifier les clients concernés et mettre en place des mesures correctives coordonnées avec les fournisseurs et les équipes de réponse aux incidents.

Des ressources techniques et des formations pertinentes peuvent accélérer la préparation des organisations ; voir le matériel de formation et les alertes aux menaces telles que https://www.dualmedia.com/cybersecurity-training-phishing/ et l'analyse des menaces pesant sur les points finaux à l'adresse https://www.dualmedia.com/understanding-antimalware-and-its-importance/.

Aperçu : La protection de la chaîne d'approvisionnement en logiciels exige une détection centrée sur le fournisseur et une hygiène de sécurité contractuelle avec des engagements de notification et de réponse aux incidents en aval.

Campagnes cybernétiques secrètes : Analyse technique des techniques de dissimulation et d'évasion

La porte dérobée Brickstorm, au cœur de nombreuses cybercampagnes secrètes observées, illustre la préférence des adversaires pour les implants fonctionnant sur des infrastructures généralement dépourvues de contrôles de détection des points finaux. Brickstorm a été déployé sur des hôtes VMware ESXi, des passerelles de sécurité pour le courrier électronique et des scanners de vulnérabilité - des systèmes qui sont souvent exclus de la couverture EDR standard.

Ces appareils n'étant pas instrumentés comme les postes de travail ou les serveurs, les attaquants peuvent rester indétectés pendant de longues périodes. Dans plusieurs enquêtes, les adversaires ont configuré des portes dérobées pour rester en sommeil ou pour émuler un comportement bénin pendant que les défenseurs enquêtaient sur d'autres alertes, ce qui permet de persister malgré un triage actif.

Vecteurs techniques et modèles d'évasion dans les cybercampagnes secrètes

Les principales observations techniques sont les suivantes :

  • Ciblage d'actifs non compatibles avec l'EDR pour héberger des portes dérobées à longue durée de vie.
  • Utilisation d'une infrastructure distribuée où aucune adresse IP n'est réutilisée dans les opérations.
  • La collecte sélective de données s'est concentrée sur les objets de grande valeur tels que les clés de signature, les référentiels privés et les courriers électroniques privilégiés.
  • L'effacement des traces médico-légales et la falsification des journaux sont programmés de manière à exploiter les fenêtres de conservation.

Du point de vue de la détection, les défenseurs devraient privilégier les mécanismes de détection qui ne reposent pas uniquement sur des agents basés sur l'hôte. La détection des anomalies au niveau du réseau, les sauvegardes immuables analysées avec les règles YARA et les vérifications fréquentes de l'intégrité hors ligne sont essentielles. Google a publié des règles YARA et un scanner pour rechercher les artefacts de Brickstorm ; les équipes devraient les intégrer dans les recherches rétrospectives et l'analyse des sauvegardes.

LIRE  tirer parti de l'expertise en matière de sécurité pour améliorer l'efficacité de la communication
Artéfact Pourquoi c'est important Approche de la détection
Fichiers d'implantation Brickstorm Une présence persistante sur les appareils non EDR Analyses basées sur YARA pour les sauvegardes et les vérifications des microprogrammes
Modèles inhabituels de C2 sortants Canaux d'exfiltration furtifs Analyse de base des flux réseau, détection des anomalies DNS
Journaux supprimés ou tronqués L'obscurcissement médico-légal Agrégation de journaux externes, rétention étendue

Éléments du manuel pratique de détection :

  1. Exécuter des analyses hors ligne de sauvegardes et d'instantanés à l'aide de signatures YARA communautaires et de règles personnalisées dérivées d'indicateurs connus.
  2. Appliquer des politiques de sauvegarde immuables et assurer un stockage hors site pour empêcher les intrusions actives.
  3. Surveiller l'utilisation latérale des identifiants et les comportements inhabituels des comptes indiquant l'accès à la boîte aux lettres et au référentiel.
  4. Exploiter les flux de renseignements sur les menaces et coordonner la divulgation avec les fournisseurs et les pairs ; voir les avis publics et les ressources collaboratives sur les incidents à l'adresse https://www.dualmedia.com/international-cooperation-cybercrime/.

Exemple : une entreprise de taille moyenne n'a découvert des mois d'exfiltration de données qu'après avoir analysé des sauvegardes archivées à l'aide de règles YARA mises à jour. Cette rétro-chasse a permis de trouver une variante de Brickstorm sur l'image d'un scanner de vulnérabilités ; l'attaquant avait utilisé des informations d'identification de développeur volées pour accéder aux dépôts de sources. Ce schéma souligne la nécessité d'une analyse des archives et d'une détection par couches au-delà des agents des points finaux.

Aperçu : Une défense efficace contre ces implants sophistiqués et évasifs nécessite l'ajout d'une couverture de détection dans les zones traditionnellement aveugles, à savoir les appliances de pointe, les hyperviseurs et les magasins de sauvegarde.

Campagnes cybernétiques secrètes : Motifs stratégiques, techniques des acteurs et contexte géopolitique

Pour comprendre les cybercampagnes secrètes, il faut considérer les opérations sous l'angle du renseignement. Le vol de communications de cabinets d'avocats, de documents de négociations commerciales et de correspondance liée à la sécurité nationale suggère un objectif qui va au-delà du simple gain financier. Ces campagnes fournissent des renseignements exploitables aux décideurs et aux planificateurs opérationnels au niveau des États.

Les techniques observées dans le cadre de ces campagnes reflètent l'espionnage classique : patience à long terme, ciblage sélectif et hiérarchisation des signaux importants pour la politique et les avantages commerciaux. Les acteurs liés aux services de renseignement nationaux se sont historiquement concentrés sur les secteurs des télécommunications, de l'énergie et de la défense ; les campagnes actuelles étendent cet objectif aux écosystèmes juridiques et aux fournisseurs de logiciels.

Motivations des acteurs et objectifs à long terme dans les cybercampagnes secrètes

Les objectifs stratégiques communs sont les suivants

  • Intelligence économique : code propriétaire et détails des négociations commerciales qui offrent un avantage concurrentiel.
  • Intelligence politique : communications juridiques et diplomatiques utilisées pour façonner la conscience stratégique.
  • Avantage opérationnel : découverte de vulnérabilités de type "jour zéro" en vue d'une utilisation clandestine future.
  • Tests de résilience : comprendre la résilience et les capacités de détection des réseaux alliés.

Des groupes comme APT41 combinent historiquement l'espionnage commercial et politique, tandis que des équipes comme Cloudhopper et APT10 ont mis l'accent sur la compromission de la chaîne d'approvisionnement. Ce chevauchement des motivations explique le ciblage d'organisations privées et gouvernementales. Les acteurs secondaires - Double Dragon, BlackTech, ShadowPad et RedEcho- apparaissent souvent dans les rapports publics en tant qu'éléments d'écosystèmes de campagnes plus vastes.

Les implications politiques et juridiques sont importantes. Lorsqu'un fournisseur de services est victime d'une violation, les obligations de notification, les contraintes juridiques transfrontalières et la responsabilité contractuelle se croisent. Les organisations doivent mettre à jour les guides de réponse aux incidents pour tenir compte des cascades de compromission des fournisseurs et de la conservation des preuves conformément aux normes réglementaires. Pour les briefings stratégiques et la préparation juridique, des ressources telles que https://www.dualmedia.com/digital-marketing-for-law-firms/ et https://www.dualmedia.com/is-your-personal-data-at-risk-cybersecurity-experts-warn-of-new-threat/ peuvent être adaptées à la préparation de l'entreprise.

Liste des recommandations opérationnelles et politiques :

  1. Mettre en place des attestations de sécurité des fournisseurs et des audits indépendants fréquents pour les fournisseurs essentiels.
  2. Élargir les critères de notification des violations pour inclure les incidents d'origine fournisseur affectant les clients.
  3. Coordonner avec les CERT nationaux et les ISAC sectoriels pour partager les indicateurs et les conseils de remédiation.
  4. Investir dans la cyberveille stratégique afin de hiérarchiser les investissements défensifs en fonction des objectifs probables de l'adversaire.
LIRE  Nouvelles sur les attaques de ransomware : La menace cybernétique croissante

Exemple de cas : un fournisseur régional de télécommunications s'est appuyé sur un ISAC sectoriel pour identifier rapidement les informations de référence qui ont permis de relier la compromission d'un fournisseur à de multiples pannes en aval. Le partage des informations a permis de raccourcir le délai entre la détection et le confinement, ce qui démontre l'efficacité de la défense collective lorsque les organisations participent à un partage coordonné des informations.

Aperçu : La valeur stratégique des objets volés va au-delà des gains opérationnels immédiats ; le code source volé et les communications privilégiées peuvent remodeler les marchés et les décisions diplomatiques s'ils sont militarisés au fil du temps.

Campagnes cybernétiques clandestines : Détection, réaction et atténuation à long terme

Les stratégies de détection et de remédiation des cybercampagnes clandestines doivent s'adapter à l'importance accordée par l'adversaire aux hôtes non EDR, aux longues durées d'immobilisation et aux pivots de la chaîne d'approvisionnement. Les programmes traditionnels centrés sur les points d'extrémité sont nécessaires mais insuffisants. Il est impératif d'adopter une approche de défense en profondeur qui couvre les dispositifs périphériques, les sauvegardes immuables et les programmes d'assurance des fournisseurs.

Les plans d'intervention doivent partir du principe que l'accès initial peut provenir d'un fournisseur de confiance. Les procédures de confinement rapide, de préservation médico-légale et de notification aux clients doivent être testées dans le cadre d'exercices de simulation d'incidents provenant d'un fournisseur. Il est conseillé aux organisations d'incorporer des scénarios de violation de fournisseur dans les cadres de simulation et d'envisager l'achat de services spécialisés de réponse aux incidents lorsque des fournisseurs essentiels sont impliqués.

Liste de contrôle pratique pour la détection et la remédiation des cybercampagnes clandestines

  • Chasser les sauvegardes et les instantanés avec les règles YARA mises à jour et les signatures de la communauté ; tirer parti de l'analyse hors ligne des artefacts.
  • Mise en œuvre d'une surveillance des flux réseau et des anomalies DNS pour détecter les schémas C2 secrets ; corrélation avec les événements relatifs à l'identité et à l'accès.
  • Appliquer des contrôles d'accès rigoureux aux systèmes de construction et aux dépôts privés ; effectuer une rotation des clés de signature après un accès suspect.
  • Faire appel à des experts du domaine pour examiner les microprogrammes des hyperviseurs et des appareils lorsque l'on soupçonne l'existence de dispositifs non EDR.
Étape de remédiation Priorité Calendrier prévisionnel
Analyse des sauvegardes hors ligne et chasse au YARA Haut De quelques jours à quelques semaines
Rotation des justificatifs et révocation des secrets Haut Des heures aux jours
Patch/remplacement des dispositifs de périphérie compromis Haut Jours

La formation et la préparation sont importantes. Les organisations peuvent accroître leur résilience de base grâce à des programmes structurés comprenant des formations sur le phishing et le codage sécurisé, et en investissant dans des cadres de cyberhygiène. Les offres de formation et de sensibilisation à la sécurité destinées aux fournisseurs sont disponibles à l'adresse https://www.dualmedia.com/corporate-cybersecurity-training/ et les guides plus détaillés à l'adresse https://www.dualmedia.com/cybersecurity-misconceptions/.

Les mesures d'atténuation à long terme doivent inclure des minima de sécurité contractuels pour les fournisseurs, des audits de code indépendants réguliers et une posture de défense fondée sur les menaces qui anticipe les risques de la chaîne d'approvisionnement. L'achat d'une cyber-assurance sans tenir compte des risques liés aux fournisseurs n'offre qu'une protection limitée en cas de compromission généralisée de ces derniers.

Aperçu : La combinaison d'une détection proactive à travers les sauvegardes, d'une surveillance rigoureuse des fournisseurs et d'un cahier des charges des incidents réduit l'avantage de l'adversaire et raccourcit les délais d'intervention.

Notre avis : Les cybercampagnes clandestines exigent un passage à une défense centrée sur la chaîne d'approvisionnement

Les cybercampagnes secrètes représentent une évolution dans l'art de l'espionnage : l'adversaire privilégie la persistance, la collecte sélective de renseignements et une empreinte observable minimale. Les priorités en matière de défense doivent donc évoluer en conséquence. Les organisations doivent reconnaître que la protection des points finaux seuls est insuffisante et que les fournisseurs, l'infrastructure périphérique et les systèmes d'archivage méritent la même attention.

Parmi les changements concrets apportés à la posture organisationnelle, citons les audits obligatoires des fournisseurs, l'extension de la détection aux appareils et aux hyperviseurs, les clauses contractuelles relatives à la notification des incidents et l'analyse hors ligne systématique des sauvegardes à l'aide des règles YARA mises à jour. La coordination avec les pairs du secteur et les autorités nationales accélère la détection et fournit un contexte commun pour hiérarchiser les mesures correctives.

  • Adopter un inventaire de la criticité des fournisseurs basé sur les risques et cartographier les dépendances en aval.
  • Appliquer l'hygiène cryptographique et la rotation immédiate des clés en cas de suspicion de compromission.
  • Mettre en place des politiques de conservation des données immuables et des sauvegardes qui dépassent les fenêtres de conservation standard.
  • Participer à des échanges de renseignements sur les menaces actives et à des exercices sur table simulant des atteintes aux droits des fournisseurs.

Pour les organisations à la recherche de ressources, la littérature sectorielle et les guides pratiques constituent des points de départ. Des sujets allant des principes fondamentaux de l'antimalware à la chasse aux menaces basée sur l'IA sont abordés à l'adresse https://www.dualmedia.com/understanding-antimalware-and-its-importance/ et les discussions politiques sur la cyberposture nationale à l'adresse https://www.dualmedia.com/the-growing-threat-of-cyber-warfare/. Pour des informations stratégiques et un contexte adapté aux investisseurs, consultez des analyses telles que https://www.dualmedia.com/cybersecurity-investor-trust/ et des chroniques d'incidents techniques à l'adresse https://www.dualmedia.com/middletown-cybersecurity-ransomware/.

Les cybercampagnes secrètes ne sont pas un type d'incident unique, mais un modèle persistant : elles ciblent les gardiens pour obtenir un accès en amont, exploitent des hôtes non EDR pour assurer leur longévité et recueillent des renseignements de grande valeur. La réponse défensive appropriée combine des contrôles techniques, la gouvernance des fournisseurs et un changement culturel visant à anticiper la compromission de la chaîne d'approvisionnement. La mise en œuvre de ces mesures réduit l'avantage asymétrique dont jouissent actuellement les acteurs liés à l'État patient.

Aperçu : Traiter la sécurité des fournisseurs comme l'infrastructure nationale - les investissements réalisés aujourd'hui dans les défenses et la détection des fournisseurs seront récompensés par une réduction des risques et une récupération plus rapide lorsque des cybercampagnes secrètes cibleront l'écosystème.