Les routeurs domestiques et de bureau sont attaqués par des pirates informatiques de l'État chinois, prévient la France

Agrandir

Getty Images

commentaires des lecteurs

122

avec 83 affiches participantes

Partagez cette histoire

Partager sur Facebook

Partager sur Twitter

Partager sur Reddit

Les pirates de l'État chinois compromettent un grand nombre de routeurs domestiques et de bureau pour les utiliser dans une attaque vaste et continue contre des organisations en France, ont déclaré les autorités de ce pays.

Le groupe de piratage, connu dans les milieux de la sécurité sous le nom d'APT31, Zirconium, Panda et d'autres noms, a toujours mené des campagnes d'espionnage ciblant les organisations gouvernementales, financières, aérospatiales et de défense ainsi que les entreprises des secteurs de la technologie, de la construction, de l'ingénierie, des télécommunications, des médias et industries de l'assurance, société de sécurité FireEye

a dit

. APT31 est également l'un des trois groupes de pirates parrainés par le gouvernement chinois qui ont participé à une récente vague de piratage des serveurs Microsoft Exchange, le National Cyber ​​Security Center du Royaume-Uni.

dit lundi

.

Reconnaissance furtive et intrusion

Mercredi, l'Agence nationale française de la sécurité des systèmes d'information, en abrégé ANSSI, a averti les entreprises et organisations nationales que le groupe était à l'origine d'une campagne d'attaque massive qui utilisait des routeurs piratés avant d'effectuer des reconnaissances et des attaques comme moyen de dissimuler les intrusions.

« L'ANSSI gère actuellement une vaste campagne d'intrusions impactant de nombreuses entités françaises », a déclaré l'ANSSI

consultatif

averti. « Les attaques sont toujours en cours et sont menées par un ensemble d'intrusions publiquement appelé APT31. Il ressort de nos enquêtes que l'acteur de la menace utilise un réseau de routeurs domestiques compromis comme boîtiers de relais opérationnels afin d'effectuer une reconnaissance furtive ainsi que des attaques.

L'avis contient

indicateurs de compromis

que les organisations peuvent utiliser pour déterminer si elles ont été piratées ou ciblées dans la campagne. Les indicateurs incluent 161 adresses IP, bien qu'il ne soit pas tout à fait clair si elles appartiennent à des routeurs compromis ou à d'autres types d'appareils connectés à Internet utilisés dans les attaques.

UNE

graphique

La cartographie des pays hébergeant les IP, créée par le chercheur Will Thomas de la société de sécurité Cyjax, montre que la plus grande concentration se trouve en Russie, suivie de l'Égypte, du Maroc, de la Thaïlande et des Émirats arabes unis.

Publicité

Aucune des adresses n'est hébergée en France ou dans l'un des pays d'Europe de l'Ouest, ou des nations faisant partie du

Alliance des cinq yeux

.

"APT31 utilise généralement des routeurs pwned dans les pays ciblés comme dernier saut pour éviter certains soupçons, mais dans cette campagne, à moins que [l'agence de sécurité française] CERT-FR les ait omis, ils ne le font pas ici", a déclaré Thomas dans un message direct. "L'autre difficulté ici est que certains des routeurs seront probablement compromis par d'autres attaquants dans le passé ou en même temps."

Routeurs dans la ligne de mire

Sur Twitter, l'analyste des menaces de Microsoft Ben Koehl a fourni

contexte supplémentaire

pour Zirconium—le nom du fabricant de logiciels pour APT31.

Il a écrit:

Lectures complémentaires

Un DDoS record aurait été délivré par plus de 145 000 caméras piratées

Les pirates informatiques ont utilisé des routeurs domestiques et de petites entreprises compromis pendant des années pour une utilisation dans des botnets qui

attaques par déni de service paralysantes

,

rediriger les utilisateurs vers des sites malveillants,

et agissent en tant que mandataires pour effectuer des attaques par force brute, exploiter les vulnérabilités, analyser les ports et exfiltrer les données des cibles piratées.

Lectures complémentaires

Le malware VPNFilter infectant 500 000 appareils est pire que nous le pensions

En 2018, des chercheurs de l'équipe de sécurité Talos de Cisco ont découvert

VPNFiltre

, un logiciel malveillant lié à des pirates informatiques de l'État russe qui a infecté plus de 500 000 routeurs pour une utilisation à des fins malveillantes. Cette même année, des chercheurs d'Akamai

détaillé

exploits de routeur qui utilisaient une technique appelée

UPnProxy

.

Les personnes qui craignent que leurs appareils ne soient compromis doivent redémarrer périodiquement leurs appareils, car la plupart des logiciels malveillants de routeur ne peuvent pas survivre à un redémarrage. Les utilisateurs doivent également s'assurer que l'administration à distance est désactivée (à moins qu'elle ne soit vraiment nécessaire et verrouillée) et que les serveurs DNS et autres configurations n'ont pas été modifiés de manière malveillante. Comme toujours, l'installation rapide des mises à jour du micrologiciel est une bonne idée.

Articles populaires