fbpx
ActualitésHackingHigh TechSécurité

Les pirates de DarkHotel utilisent VPN Zero-Day pour violer les agences du gouvernement chinois

Des pirates étrangers parrainés par l’État ont lancé une opération de piratage massive visant les agences gouvernementales chinoises et leurs employés.

Les attaques ont commencé le mois dernier, en mars, et seraient liées à l’épidémie actuelle de coronavirus (COVID-19).

La société de sécurité chinoise Qihoo 360, qui a détecté les intrusions, a déclaré que les pirates avaient utilisé une vulnérabilité de jour zéro dans les serveurs VPN SSL Sangfor, utilisée pour fournir un accès à distance aux réseaux d’entreprise et gouvernementaux.

Qihoo a déclaré avoir découvert plus de 200 serveurs VPN piratés au cours de cette campagne. La firme de sécurité a déclaré que 174 de ces serveurs étaient situés sur les réseaux des agences gouvernementales à Pékin et Shanghai, et les réseaux des missions diplomatiques chinoises opérant à l’étranger, dans des pays tels que:

  • Italie
  • Royaume-Uni
  • Pakistan
  • Kirghizistan
  • Indonésie
  • Thaïlande
  • Émirats arabes unis
  • Arménie
  • Corée du Nord
  • Israël
  • Vietnam
  • Turquie
  • Malaisie
  • L’Iran
  • Éthiopie
  • Tadjikistan
  • Afghanistan
  • Arabie Saoudite
  • Inde

Dans un rapport publié aujourd’hui, les chercheurs de Qihoo ont déclaré que toute la chaîne d’attaque était sophistiquée et très intelligente. Les pirates ont utilisé le jour zéro pour prendre le contrôle des serveurs VPN Sangfor, où ils ont remplacé un fichier nommé SangforUD.exe par une version boobytrapped.

Ce fichier est une mise à jour de l’application de bureau Sangfor VPN, que les employés installent sur leurs ordinateurs pour se connecter aux serveurs VPN Sangfor (et intrinsèquement à leurs réseaux de travail).

Les chercheurs de Qihoo ont déclaré que lorsque les travailleurs se connectaient à des serveurs VPN Sangfor piratés, ils recevaient une mise à jour automatique pour leur client de bureau, mais recevaient le fichier SangforUD.exe boobytrapped, qui a ensuite installé un cheval de Troie de porte dérobée sur leurs appareils.

Les pirates de DarkHotel s’en prennent aux cibles du COVID-19

La société de sécurité chinoise a déclaré avoir suivi les attaques contre un groupe de pirates informatiques appelé DarkHotel. On pense que le groupe opère à partir de la péninsule coréenne, bien qu’on ne sache pas encore s’il est basé en Corée du Nord ou en Corée du Sud.

Le groupe, qui opère depuis 2007, est considéré comme l’une des opérations de piratage d’État les plus sophistiquées d’aujourd’hui.

Dans un rapport publié le mois dernier, Google a déclaré que DarkHotel avait utilisé cinq vulnérabilités zero-day l’année dernière, en 2019, plus que toute autre opération de piratage d’un État-nation.

Bien qu’il ne soit qu’en avril, le Sangfor VPN zero-day est le troisième DarkHotel à jour zéro déployé en 2020.

Plus tôt cette année, le groupe a également été vu utiliser des jours zéro pour les navigateurs Firefox et Internet Explorer pour cibler des entités gouvernementales en Chine et au Japon.

Les chercheurs de Qihoo ont déclaré que les récentes attaques contre les agences gouvernementales chinoises pourraient être liées à l’épidémie actuelle de coronavirus (COVID-19). La société de sécurité chinoise a déclaré qu’elle pensait que DarkHotel tentait de comprendre comment le gouvernement chinois avait géré l’épidémie.

Les attaques contre les entités du gouvernement chinois semblent correspondre à un modèle. Il y a deux semaines, Reuters a signalé une attaque de DarkHotel contre l’Organisation mondiale de la santé, l’organisme international qui coordonne la réponse mondiale à la pandémie actuelle de COVID-19.

Les correctifs sont déjà disponibles

Qihoo a déclaré avoir signalé la vulnérabilité du jour zéro à Sangfor vendredi dernier, le 3 avril.

Lorsque Monde Informatique a demandé une déclaration plus tôt dans la journée, le fournisseur basé à Shenzen n’a pas voulu commenter les attaques, les cibles ou les pirates informatiques et nous a plutôt redirigé vers un message WeChat publié plus tôt dans la journée.

Sur WeChat, le fournisseur a déclaré que seuls les serveurs Sangfor VPN exécutant les versions de firmware M6.3R1 et M6.1 étaient vulnérables et ont été confirmés comme ayant été compromis en utilisant le jour zéro utilisé par DarkHotel

Sangfor a déclaré que les correctifs arriveraient aujourd’hui et demain – aujourd’hui pour la version actuelle de son serveur VPN SSL, et demain pour les anciennes versions.

La société prévoit également de publier un script pour détecter si les pirates ont compromis les serveurs VPN et un deuxième outil pour supprimer les fichiers déployés par DarkHotel.

Les clients de Sangfor peuvent trouver des détails supplémentaires dans le message WeChat de l’entreprise et son avis de sécurité SRC-2020-281 (non public).

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page