Entités critiques ciblées dans des soupçons de cyber-espionnage chinois

Entités critiques ciblées dans des soupçons de cyber-espionnage chinois

Une icône pour l’application pour smartphone Pulse Secure, à droite, et une page d’informations sur le bureau de l’ordinateur, à gauche, sont visibles à Burke, en Virginie, le lundi 14 juin 2021. Des pirates chinois présumés soutenus par l’État ont pénétré les systèmes informatiques d’entités américaines critiques dans ce que les experts en cybersécurité appellent une grande campagne chinoise de cyberespionnage, un épisode qui est passé largement sous le radar au milieu de la clameur d’une aggravation des attaques de ransomware. La campagne a été menée en exploitant les dispositifs de mise en réseau Pulse Connect Secure largement utilisés. Pulse Secure est utilisé par de nombreuses entreprises et gouvernements pour un accès distant sécurisé à leurs réseaux. Crédit : AP Photo

Une campagne de cyberespionnage imputée à la Chine était plus radicale qu’on ne le pensait auparavant, avec des pirates présumés soutenus par l’État exploitant un appareil destiné à renforcer la sécurité Internet pour pénétrer dans les ordinateurs d’entités américaines critiques.

Le piratage des périphériques réseau Pulse Connect Secure a été révélé en avril, mais sa portée commence à peine à devenir claire. L’Associated Press a appris que les pirates avaient ciblé le géant des télécommunications Verizon et la plus grande agence de l’eau du pays. La nouvelle a éclaté plus tôt ce mois-ci que le système de métro de la ville de New York, le plus grand du pays, avait également été violé.

Les chercheurs en sécurité affirment que des dizaines d’autres entités de grande valeur qui n’ont pas encore été nommées ont également été ciblées dans le cadre de la violation de Pulse Secure, qui est utilisé par de nombreuses entreprises et gouvernements pour un accès distant sécurisé à leurs réseaux.

On ne sait pas quelles informations sensibles, le cas échéant, ont été consultées. Certaines des cibles ont déclaré n’avoir vu aucune preuve de vol de données. Cette incertitude est courante dans le cyberespionnage et cela peut prendre des mois pour déterminer la perte de données, si jamais elle est découverte. Ivanti, le propriétaire de Pulse Connect Secure basé dans l’Utah, a refusé de commenter les clients concernés.

Mais même si les informations sensibles n’étaient pas compromises, les experts disent qu’il est inquiétant que des pirates aient réussi à prendre pied dans des réseaux d’organisations critiques dont les secrets pourraient intéresser la Chine pour des raisons de sécurité commerciale et nationale.

« Les acteurs de la menace ont pu accéder à des organisations très médiatisées, certaines très bien protégées », a déclaré Charles Carmakal, directeur de la technologie de Mandiant, dont la société a annoncé la campagne de piratage pour la première fois en avril.

Le piratage Pulse Secure est largement passé inaperçu tandis qu’une série d’attaques de ransomware qui ont fait la une des journaux ont mis en évidence les cyber-vulnérabilités des infrastructures critiques américaines, dont une sur un important pipeline de carburant qui a provoqué des pénuries généralisées dans les stations-service. Le gouvernement américain enquête également toujours sur les retombées de la campagne de piratage SolarWinds lancée par des cyber-espions russes, qui a infiltré des dizaines d’entreprises du secteur privé et de groupes de réflexion ainsi qu’au moins neuf agences gouvernementales américaines et s’est poursuivie pendant la majeure partie de 2020.

La Chine utilise depuis longtemps Internet pour espionner les États-Unis et présente une « menace de cyber-espionnage prolifique et efficace », a déclaré le Bureau du directeur du renseignement national dans sa dernière évaluation annuelle des menaces.

Il y a six ans, des pirates chinois ont volé des millions de fichiers de vérification des antécédents d’employés du gouvernement fédéral au Bureau de gestion du personnel. Et l’année dernière, le ministère de la Justice a inculpé deux pirates informatiques qui, selon lui, ont travaillé avec le gouvernement chinois pour cibler des entreprises développant des vaccins contre le coronavirus et ont volé des centaines de millions de dollars de propriété intellectuelle et de secrets commerciaux à des entreprises du monde entier.

Le gouvernement chinois a nié tout rôle dans la campagne de piratage Pulse et le gouvernement américain n’a fait aucune attribution formelle.

Dans la campagne Pulse, des experts en sécurité ont déclaré que des pirates informatiques sophistiqués utilisaient des vulnérabilités jamais vues auparavant pour s’introduire et étaient extrêmement diligents pour essayer de brouiller les pistes une fois à l’intérieur.

« La capacité est très forte et difficile à défendre, et le profil des victimes est très important », a déclaré Adrian Nish, responsable cyber chez BAE Systems Applied Intelligence. « Il s’agit d’une attaque très ciblée contre quelques dizaines de réseaux qui ont tous une importance nationale d’une manière ou d’une autre. »

La Cybersecurity & Infrastructure Security Agency du Department of Homeland Security, ou CISA, a émis une alerte en avril au sujet du piratage Pulse, affirmant qu’elle était au courant de « compromis affectant un certain nombre d’agences gouvernementales américaines, d’entités d’infrastructures critiques et d’autres organisations du secteur privé ». L’agence a depuis déclaré qu’au moins cinq agences fédérales avaient identifié des indications d’accès non autorisé potentiel, mais n’a pas précisé lesquelles.

Verizon a déclaré avoir trouvé un compromis lié à Pulse dans l’un de ses laboratoires, mais il a rapidement été isolé de ses réseaux principaux. La société a déclaré qu’aucune donnée ou information client n’avait été consultée ou volée.

« Nous savons que les mauvais acteurs essaient de compromettre nos systèmes », a déclaré le porte-parole de Verizon, Rich Young. « C’est pourquoi les opérateurs Internet, les entreprises privées et tous les particuliers doivent être vigilants dans cet espace. »

Le Metropolitan Water District of Southern California, qui fournit de l’eau à 19 millions de personnes et exploite certaines des plus grandes usines de traitement au monde, a déclaré avoir trouvé un appareil Pulse Secure compromis après que la CISA a émis son alerte en avril. La porte-parole Rebecca Kimitch a déclaré que l’appareil avait été immédiatement retiré du service et qu’aucun système ou processus métropolitain n’avait été affecté. Elle a déclaré qu’il n’y avait « aucune exfiltration de données connue ».

La Metropolitan Transportation Authority de New York a également déclaré qu’elle n’avait trouvé aucune preuve de données précieuses ou que des informations sur les clients avaient été volées. La violation a été signalée pour la première fois par le New York Times.

Nish, l’expert en sécurité de BAE, a déclaré que les pirates auraient pu s’introduire dans les réseaux mais pas immédiatement voler des données pour un certain nombre de raisons opérationnelles. Il a comparé cela à un criminel pénétrant par effraction dans une maison mais s’arrêtant dans le couloir.

« C’est encore assez mauvais », a déclaré Nish.

Mandiant a déclaré avoir trouvé des signes d’extraction de données sur certaines des cibles. La société et BAE ont identifié les cibles de la campagne de piratage dans plusieurs domaines, notamment les entreprises financières, technologiques et de défense, ainsi que les gouvernements municipaux. Certaines cibles étaient en Europe, mais la plupart aux États-Unis

Au moins un grand gouvernement local a contesté avoir été la cible du piratage Pulse Secure. Le comté de Montgomery, dans le Maryland, a déclaré avoir été informé par CISA que ses appareils Pulse Secure avaient été attaqués. Mais le porte-parole du comté, Scott Peterson, a déclaré que le comté n’avait trouvé aucune preuve d’un compromis et a déclaré à la CISA qu’il avait un « faux rapport ».

CISA n’a pas répondu directement à la déclaration du comté.

Les nouveaux détails du piratage Pulse Secure arrivent à un moment de tension entre les États-Unis et la Chine. Biden a fait de la vérification de la croissance de la Chine une priorité absolue et a déclaré que l’ambition du pays de devenir le pays le plus riche et le plus puissant du monde « ne se produira pas sous ma surveillance ».


Les acteurs APT exploitent les techniques de contournement d’authentification et Pulse Secure Zero-Day


© 2021 La Presse Associée. Tous les droits sont réservés. Ce matériel ne peut pas être publié, diffusé, réécrit ou redistribué sans autorisation.

Citation: Entités critiques ciblées dans des soupçons de cyber-espionnage chinois (2021, 15 juin) récupérées le 15 juin 2021 sur https://techxplore.com/news/2021-06-critical-entities-chinese-cyber-spying.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.