Sophos décrit 5 ans de bras de bras de fer avec des APT chinoises

Sophos a dévoilé jeudi une campagne de menaces menée depuis des années par la Chine contre ses produits de pare-feu, ainsi que les techniques utilisées pour détecter et contrecarrer les attaques.

La campagne a été révélée dans un billet de blog intitulé « Pacific Rim : Inside the Counter-Offensive - The TTPs Used to Neutralize China-Based Threats ». Celui-ci couvre les cinq années d'enquête et de contre-offensive de Sophos X-Ops - baptisée Pacific Rim - sur un groupe d'activités. Selon l'équipementier, plusieurs groupes de menace soutenus par l'État chinois ont ciblé les pare-feux Sophos avec des botnets, des malwares spécialisés et des exploits pour des vulnérabilités inédites, des 0day, ou déjà connues.

Dans son travail, Sophos relève que Pacific Rim a nécessité l'assistance de plusieurs fournisseurs de cybersécurité, de gouvernements et forces de l’ordre. De nombreux acteurs de la menace ont également été impliqués. Sophos a attribué des groupes d'activités à plusieurs groupes de menaces parrainés par l'État chinois, dont APT31, APT41, connu sous le nom de Winnti, et le célèbre Volt Typhoon.

L'activité a été détectée pour la première fois en décembre 2018 au sein du siège de Cyberoam Technologies, une filiale de Sophos basée en Inde et rachetée en 2014. Dans cette attaque, Sophos a vu un « ordinateur à faibles privilèges - qui pilotait un écran monté sur le mur du bureau de Cyberoam - effectuer des analyses du réseau ». L'analyse initiale a révélé l’utilisation de techniques courantes et suggérant « un acteur relativement peu sophistiqué », a déclaré Sophos. Cependant, d'autres tactiques, techniques et procédures (TTP), telles qu'un rootkit complexe et inédit que Sophos a baptisé Cloud Snooper, ont clairement montré que l'acteur impliqué était plus habile que ce que l'on pensait au départ.

« Bien qu'il s'agisse du seul incident dans lequel une installation Sophos a été directement visée, il a démontré un adversaire adaptable capable d'escalader la capacité en fonction des besoins pour atteindre leurs objectifs », explique un billet de blog centré sur la chronologie : « par exemple, l'acteur de la menace a démontré une connaissance approfondie d'AWS SSM (une technologie relativement nouvelle en 2018) et a déployé un rootkit au niveau du noyau avec commande et contrôle (C2) furtifs en utilisant la technique ATT&CK T1205.002 ».

Plus de deux ans plus tard, en 2020, un acteur de la menace, découvert plus tard comme étant APT31, a utilisé une vulnérabilité critique d'injection SQL dans le WebAdmin de Cyberoam OS, CVE-2020-29574, pour cibler des produits Cyberoam presque en fin de vie.

« L'attaquant a utilisé une vulnérabilité inédite qui deviendrait plus tard CVE-2020-29574 pour créer un nouveau compte utilisateur de niveau administrateur, nommé 'cybersupport', sur les appareils concernés (T1136.001) », peut-on lire dans le billet. « Sophos a diffusé un correctif pour combler la vulnérabilité et supprimer les comptes créés par les attaquants. L'entreprise a mené des actions de sensibilisation auprès des propriétaires enregistrés pour leur conseiller de mettre à jour leurs appareils ou de les mettre hors service ».

Entre 2020 et 2022, Sophos a observé que des acteurs étatiques chinois tentaient de mettre en place des boîtes de relais opérationnelles (ORB), décrites précédemment par Mandiant de Google Cloud en début d'année, qui sont des réseaux maillés de type botnet composés de serveurs privés virtuels ainsi que d'appareils connectés à Internet utilisés pour dissimuler les activités malveillantes.

Comme indiqué dans le rapport de Sophos sur Pacific Rim, les acteurs ont ciblé des appareils d’extrémité ainsi que d'autres appareils avec des portails web orientés vers l'Internet. De multiples vulnérabilités et exploits ont été utilisés au cours de ce processus, y compris la faille d'injection SQL zero-day dans les pare-feux Sophos XG, référencée comme CVE-2020-12271, et la faille critique de débordement de mémoire tampon dans les pare-feux Sophos XG, référencée comme CVE-2020-15069.

À partir de 2021, les acteurs impliqués « semblent passer d'attaques généralisées et indiscriminées à des attaques très ciblées, conduites manuellement, contre des entités spécifiques : agences gouvernementales, infrastructures critiques, organismes de recherche et de développement, prestataires de soins de santé, commerce de détail, finance, armée et organismes du secteur public, principalement dans la région Asie-Pacifique ».

Dans un exemple, les acteurs malveillants ont utilisé la vulnérabilité CVE-2022-1040 du pare-feu Sophos pour contourner l'authentification et cibler une administration de haut niveau et une cible liée au Tibet dans le cadre d'un schéma plus large qui était « cohérent avec les objectifs de la politique étrangère de la République populaire de Chine ».

Les TTP et les indicateurs de compromission sont disponibles dans les billets Pacific Rim de Sophos.

L'un des aspects les plus intéressants de cette activité est peut-être le fait que Sophos a suivi l'activité suspecte jusqu'à des dispositifs de pare-feu enregistrés auprès de deux organisations chinoises : Le Sichuan Silence Information Technology's Double Helix Research Institute dans le Sichuan, en Chine, et l'University of Electronic Science and Technology of China à Chengdu.

L'implication, à laquelle Sophos a fait allusion dans son blog, est que les institutions chinoises mènent des recherches sur des exploits qui sont ensuite partagées avec les autorités gouvernementales chinoises et utilisées pour mener des activités cybernétiques parrainées par l'État.

« Sophos X-Ops a identifié, avec un niveau de confiance élevé, des activités de recherche et de développement d'exploits menées dans la région du Sichuan », écrit Sophos. « Conformément à la législation chinoise sur la divulgation des vulnérabilités, X-Ops estime avec une grande certitude que les exploits développés ont ensuite été partagés avec plusieurs groupes de première ligne distincts parrainés par l'État, dont les objectifs, les capacités et les outils de post-exploitation diffèrent ».

Dans le cadre de la contre-offensive Pacific Rim, l'équipe X-Ops de Sophos a mis au point un « implant ciblé » qui a été déployé en 2020 sur les dispositifs contrôlés par l'attaquant présumé en Chine, selon le billet consacré la chronologie. L’équipementier a utilisé les implants pour surveiller les activités de Double Helix.