Des hackers ont lancé une opération de piratage massive visant les agences gouvernementales chinoises et leurs employés. Les attaques ont commencé le mois dernier, en mars, et seraient liées à la pandémie de coronavirus. La société de sécurité chinoise Qihoo 360, qui a détecté les intrusions, a déclaré que les pirates utilisaient une vulnérabilité de type “zero-day” dans les serveurs VPN SSL de Sangfor, utilisés pour fournir un accès à distance aux réseaux des entreprises et du gouvernement.
Qihoo 360 affirme avoir découvert plus de 200 serveurs VPN qui ont été piratés dans le cadre de cette campagne. La société de sécurité ajoute que 174 de ces serveurs se trouvaient sur les réseaux d’agences gouvernementales à Pékin et Shanghai, et sur les réseaux de missions diplomatiques chinoises opérant à l’étranger, dans des pays tels que :
- Italie
- Royaume-Uni
- Pakistan
- Kirghizistan
- Indonésie
- Thaïlande
- EAU
- Arménie
- Corée du Nord
- Israël
- Vietnam
- Turquie
- Malaisie
- Iran
- Ethiopie
- Tadjikistan
- Afghanistan
- Arabie Saoudite
- Inde
Dans un rapport, les chercheurs de Qihoo ont déclaré que toute la chaîne d’attaque était sophistiquée et très intelligente. Les pirates ont utilisé une faille zero day pour prendre le contrôle des serveurs VPN Sangfor, où ils ont remplacé un fichier nommé SangforUD.exe par une version piégée. Ce fichier est une mise à jour de l’application Sangfor VPN desktop, que les employés installent sur leur ordinateur pour se connecter aux serveurs VPN Sangfor (et intrinsèquement à leur réseau de travail).
Les pirates de DarkHotel s’en prennent aux cibles du Covid-19
La société de sécurité chinoise explique avoir remonté les attaques jusqu’à un groupe de pirates informatiques connu sous le nom de DarkHotel. Le groupe opérerait depuis la péninsule coréenne, mais on ignore encore s’il est basé en Corée du Nord ou du Sud. Le groupe, qui opère depuis 2007, est considéré comme capable d’organiser des opérations de piratage informatique des plus sophistiquées.
Dans un rapport publié le mois dernier, Google rappelle que DarkHotel a utilisé cinq énormes vulnérabilités de type “zero-day” l’année dernière, en 2019. Et bien que nous ne soyons qu’en avril, la faille zero-day exploitée sur ces VPN de Sangfor est la troisième déployée en 2020 par DarkHotel. Plus tôt cette année, le groupe a également été surpris en train d’utiliser des failles zero-day pour les navigateurs Firefox et Internet Explorer pour cibler des entités gouvernementales en Chine et au Japon.
Les chercheurs de Qihoo 360 ont déclaré que les récentes attaques contre les agences gouvernementales chinoises pourraient être liées à la pandémie de Covid-19. La société de sécurité chinoise pense que DarkHotel essaie de comprendre comment le gouvernement chinois a géré l’épidémie. Les attaques contre les entités gouvernementales chinoises semblent correspondre à un schéma. Il y a deux semaines, Reuters a rapporté une attaque de DarkHotel contre l’Organisation Mondiale de la Santé, l’organisme international qui coordonne la réponse mondiale à la pandémie actuelle.
Les patchs sont déjà disponibles
Qihoo a signalé la vulnérabilité à Sangfor vendredi dernier, le 3 avril. Le fournisseur basé à Shenzen n’a pas voulu commenter les attaques, les cibles ou les pirates, et nous a redirigés vers un post WeChat publié plus tôt dans la journée. Sur WeChat, le vendeur a déclaré que seuls les serveurs VPN Sangfor utilisant les versions de firmware M6.3R1 et M6.1 étaient vulnérables et qu’il avait été confirmé qu’ils avaient été compromis en utilisant une “zero-day” utilisé par DarkHotel.
Sangfor ajoute que les correctifs arriveront aujourd’hui et demain – aujourd’hui pour la version actuelle de son serveur VPN SSL, et demain pour les anciennes versions. La société prévoit également de publier un script pour détecter si les pirates ont compromis les serveurs VPN, et un second outil pour supprimer les fichiers déployés par DarkHotel. Les clients de Sangfor peuvent trouver des détails supplémentaires dans la publication WeChat et dans son avis de sécurité SRC-2020-281 (non public).
Source : ZDNet.com
[ad_2]
Article Source link
Is your business effected by a COVID-19 / Coronavirus related Cyber Crime?
If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.
Digitpol is available 24/7.
Email: info@digitpol.com
Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884