Des hackers chinois brouillent les pistes et suppriment les malwares quelques jours avant leur détection

Helga Smithjuin 2, 2021Dernière mise à jour: juin 2, 2021
33 2 minutes de lecture

Spécialistes FireEye a attiré l'attention au comportement étrange des hackers chinois, qui, pour tenter de brouiller les pistes, supprimer les logiciels malveillants peu de temps avant la détection.

Selon les chercheurs, deux groupes de piratage utilisent une vulnérabilité zero-day dans Pulse Secure VPN pour attaquer les réseaux d'entrepreneurs de défense américains et d'organisations gouvernementales du monde entier.

Selon FireEye, les hacks ont commencé en août 2020, quand le premier groupe de hack, que la société suit comme UNC2630, des entreprises de défense américaines et des organisations européennes ciblées. Selon les analystes, ces pirates “agir au nom du gouvernement chinois et peut avoir des liens avec APT5,” c'est un autre groupe de cyberespionnage chinois bien connu.

En octobre 2020, un deuxième groupe de pirates a rejoint les attaques (FireEye lui a attribué l'ID UNC2717), mais les experts n'en savaient pratiquement rien.

Dans les deux cas, les attaquants ont installé des shells Web sur les appareils vulnérables, puis les a utilisés pour aller vers les victimes’ réseaux internes, d'où ils ont volé les identifiants, lettres et documents confidentiels.

Maintenant dans un nouveau rapport, FireEye écrit qu'une enquête plus approfondie sur ces attaques a permis de découvrir quelque chose d'étrange: au moins un des groupes impliqués dans les incidents a commencé à supprimer ses logiciels malveillants des réseaux infectés trois jours avant la divulgation.

“Entre avril 17 et 20, 2021, Les spécialistes de Mandiant ont observé que l'UNC2630 a eu accès à des dizaines d'appareils compromis et a supprimé les shells Web tels que ATRIUM et SLIGHTPULSE”, — les analystes écrivent.

Les actions des cybercriminels semblent suspectes et soulèvent des questions, par example, si les attaquants pouvaient connaître l'intérêt de FireEye. Bien sûr, la suppression du malware aurait pu être une coïncidence, mais si les participants à l'UNC2630 savaient que FireEye enquêtait sur certains des réseaux qu'ils avaient compromis, il semble que les pirates ont délibérément reculé et supprimé des preuves pour protéger d'autres opérations des chercheurs.

FireEye rapporte également qu'il a découvert de nouveaux détails de cette campagne de piratage. Alors, les experts ont trouvé quatre souches supplémentaires de malware (en plus de 12 décrite précédemment).

  • MINE DE SANG — Utilitaire d'analyse de fichier journal Pulse Secure Connect. Récupère les informations relatives aux connexions, publier des identifiants et des requêtes Web et copier les données correspondantes dans un autre fichier.
  • BANQUE DU SANG — Un utilitaire de vol d'informations d'identification qui analyse deux fichiers contenant des hachages de mots de passe ou des mots de passe dans un test ouvert et s'attend à ce que le fichier de sortie soit spécifié sur la ligne de commande.
  • CLEANPULSE — c'est un utilitaire de correction de mémoire qui peut être utilisé pour empêcher certains événements de journal de se produire. Il a été trouvé avec le shell Web ATRIUM.
  • IMPULSION RAPIDE — Un web shell capable de lire des fichiers arbitraires. Comme les autres shells Web, RAPIDPULSE est une modification du fichier légitime Pulse Secure. Peut servir de chargeur pour les fichiers cryptés.

en outre, FireEye continue de travailler avec les développeurs de Pulse Secure pour identifier les appareils compromis et leurs propriétaires. Ce travail a permis aux analystes d'en savoir plus sur les cibles des attaquants. Alors, selon de nouvelles données, la plupart des victimes sont des organisations basées aux États-Unis (d'autres sont situés dans des pays européens). Alors que l'on pensait auparavant que les attaques visaient des entrepreneurs de la défense et des agences gouvernementales, il est désormais clair que les attaquants visaient également les télécommunications, sociétés de financement et de transport.

Alors que les analystes précédents de FireEye ont écrit que seul UNC2630 peut avoir des liens avec le gouvernement chinois, maintenant, ils sont convaincus que les deux groupes sont engagés dans le cyberespionnage et “soutenir les priorités clés du gouvernement chinois.”

Permettez-moi de vous rappeler que j'ai également écrit que Le malware XCSSET utilise des attaques 0-day dans macOS.

Mots clés
Helga Smithjuin 2, 2021Dernière mise à jour: juin 2, 2021
33 2 minutes de lecture

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page