Agrandir
Getty Images
commentaires des lecteurs
122
avec 83 affiches participantes
Partagez cette histoire
Partager sur Facebook
Partager sur Twitter
Partager sur Reddit
Les pirates de l'État chinois compromettent un grand nombre de routeurs domestiques et de bureau pour les utiliser dans une attaque vaste et continue contre des organisations en France, ont déclaré les autorités de ce pays.
Le groupe de piratage, connu dans les milieux de la sécurité sous le nom d'APT31, Zirconium, Panda et d'autres noms, a toujours mené des campagnes d'espionnage ciblant les organisations gouvernementales, financières, aérospatiales et de défense ainsi que les entreprises des secteurs de la technologie, de la construction, de l'ingénierie, des télécommunications, des médias et industries de l'assurance, société de sécurité FireEye
a dit
. APT31 est également l'un des trois groupes de pirates parrainés par le gouvernement chinois qui ont participé à une récente vague de piratage des serveurs Microsoft Exchange, le National Cyber Security Center du Royaume-Uni.
dit lundi
.
Reconnaissance furtive et intrusion
Mercredi, l'Agence nationale française de la sécurité des systèmes d'information, en abrégé ANSSI, a averti les entreprises et organisations nationales que le groupe était à l'origine d'une campagne d'attaque massive qui utilisait des routeurs piratés avant d'effectuer des reconnaissances et des attaques comme moyen de dissimuler les intrusions.
« L'ANSSI gère actuellement une vaste campagne d'intrusions impactant de nombreuses entités françaises », a déclaré l'ANSSI
consultatif
averti. « Les attaques sont toujours en cours et sont menées par un ensemble d'intrusions publiquement appelé APT31. Il ressort de nos enquêtes que l'acteur de la menace utilise un réseau de routeurs domestiques compromis comme boîtiers de relais opérationnels afin d'effectuer une reconnaissance furtive ainsi que des attaques.
L'avis contient
indicateurs de compromis
que les organisations peuvent utiliser pour déterminer si elles ont été piratées ou ciblées dans la campagne. Les indicateurs incluent 161 adresses IP, bien qu'il ne soit pas tout à fait clair si elles appartiennent à des routeurs compromis ou à d'autres types d'appareils connectés à Internet utilisés dans les attaques.
UNE
graphique
La cartographie des pays hébergeant les IP, créée par le chercheur Will Thomas de la société de sécurité Cyjax, montre que la plus grande concentration se trouve en Russie, suivie de l'Égypte, du Maroc, de la Thaïlande et des Émirats arabes unis.
Publicité
Aucune des adresses n'est hébergée en France ou dans l'un des pays d'Europe de l'Ouest, ou des nations faisant partie du
Alliance des cinq yeux
.
"APT31 utilise généralement des routeurs pwned dans les pays ciblés comme dernier saut pour éviter certains soupçons, mais dans cette campagne, à moins que [l'agence de sécurité française] CERT-FR les ait omis, ils ne le font pas ici", a déclaré Thomas dans un message direct. "L'autre difficulté ici est que certains des routeurs seront probablement compromis par d'autres attaquants dans le passé ou en même temps."
Routeurs dans la ligne de mire
Sur Twitter, l'analyste des menaces de Microsoft Ben Koehl a fourni
contexte supplémentaire
pour Zirconium—le nom du fabricant de logiciels pour APT31.
Il a écrit:
Lectures complémentaires
Un DDoS record aurait été délivré par plus de 145 000 caméras piratées
Les pirates informatiques ont utilisé des routeurs domestiques et de petites entreprises compromis pendant des années pour une utilisation dans des botnets qui
attaques par déni de service paralysantes
,
rediriger les utilisateurs vers des sites malveillants,
et agissent en tant que mandataires pour effectuer des attaques par force brute, exploiter les vulnérabilités, analyser les ports et exfiltrer les données des cibles piratées.
Lectures complémentaires
Le malware VPNFilter infectant 500 000 appareils est pire que nous le pensions
En 2018, des chercheurs de l'équipe de sécurité Talos de Cisco ont découvert
VPNFiltre
, un logiciel malveillant lié à des pirates informatiques de l'État russe qui a infecté plus de 500 000 routeurs pour une utilisation à des fins malveillantes. Cette même année, des chercheurs d'Akamai
détaillé
exploits de routeur qui utilisaient une technique appelée
UPnProxy
.
Les personnes qui craignent que leurs appareils ne soient compromis doivent redémarrer périodiquement leurs appareils, car la plupart des logiciels malveillants de routeur ne peuvent pas survivre à un redémarrage. Les utilisateurs doivent également s'assurer que l'administration à distance est désactivée (à moins qu'elle ne soit vraiment nécessaire et verrouillée) et que les serveurs DNS et autres configurations n'ont pas été modifiés de manière malveillante. Comme toujours, l'installation rapide des mises à jour du micrologiciel est une bonne idée.
