Une multinationale américaine, possédant des actifs en Chine, a été victime d’une cyberattaque sophistiquée orchestrée par des pirates chinois entre avril et août 2024.
Entre avril et août 2024, une entreprise américaine d’envergure internationale, active en Chine, a été la cible d’une cyberattaque orchestrée par un groupe de pirates chinois. Bien que le nom de l’entreprise reste confidentiel, cette attaque s’inscrit dans un contexte de cyberespionnage intensifié visant les grandes entreprises opérant sur le marché chinois.
Les experts de Symantec ont identifié des indices clairs pointant vers une stratégie élaborée impliquant des outils open source comme PowerShell, FileZilla et WinRAR, mais également des méthodes complexes comme le « Kerberoasting ».
Les assaillants ont exploité des vulnérabilités des systèmes, notamment les serveurs Exchange, pour exfiltrer des données sensibles. Cette attaque s’ajoute à une série d’actions malveillantes similaires, notamment celles du groupe Daggerfly, qui avait ciblé cette même entreprise en 2023. Une enquête approfondie révèle les tactiques et les outils utilisés, ainsi que leurs implications sur la cybersécurité mondiale.
Un scénario bien orchestré : des attaques ciblées et des outils open source
L’attaque a débuté le 11 avril 2024, marquant le point de départ d’une campagne cybercriminelle méticuleusement orchestrée. Les assaillants ont commencé par exploiter les commandes Windows Management Instrumentation (WMI) pour explorer l’infrastructure cible et collecter des données critiques. Rapidement, des techniques avancées comme le « Kerberoasting » ont été utilisées pour interroger Active Directory et obtenir des informations d’authentification.
Un des points marquants de cette attaque est l’utilisation d’outils open source bien connus dans le domaine de la cybersécurité, comme FileZilla et PuTTY, rebaptisé en « putty.exe ». Cette approche, surnommée « vivre de la terre », consiste à détourner des outils légitimes pour éviter la détection. De plus, PowerShell et WinRAR ont été mis à contribution pour compresser et exfiltrer les données, tandis que PsExec a permis une gestion à distance des ressources piratées.
Les cybercriminels ont su structurer leurs attaques en répartissant les rôles entre différentes machines, accentuant l’efficacité de leur intrusion. Cette méthodologie témoigne d’une organisation poussée, où chaque machine se voyait attribuer une tâche spécifique, qu’il s’agisse de la collecte d’informations, de l’extraction ou de la persistance réseau.
Empreintes numériques et pistes chinoises
Des éléments retrouvés sur les systèmes compromis relient directement cette attaque au groupe chinois Crimson Palace. Parmi ces indices figurent des fichiers malveillants utilisés dans des attaques similaires par ce groupe par le passé. Les pirates ont également usé d’une DLL malveillante, introduite le 13 juin via « iTunesHelper.exe », renforçant la complexité de l’attaque.
Ce type d’opération reflète une approche méthodique. L’utilisation d’outils comme Impacket démontre la maîtrise des techniques modernes de cyberespionnage. Crimson Palace est connu pour ses campagnes visant à collecter des renseignements industriels et stratégiques, notamment en exploitant les infrastructures critiques d’entreprises étrangères opérant en Chine.
L’enquête révèle aussi une résilience réseau impressionnante mise en place par les assaillants. À l’aide de modifications dans le registre, de WMI et de PsExec, ils ont établi des points d’entrée persistants pour garantir un accès prolongé, même après la découverte initiale de l’intrusion.
Des leçons à tirer pour la cybersécurité mondiale
Les outils et méthodes employés dans cette attaque illustrent une tendance préoccupante : l’adoption par les cybercriminels d’une approche hybride mêlant exploitation des vulnérabilités internes et utilisation d’outils open source. Cette combinaison leur permet d’opérer sous le radar des systèmes de détection classiques.
Les experts de Symantec insistent sur la nécessité pour les entreprises de surveiller en continu leurs infrastructures, en particulier les serveurs Exchange, souvent ciblés pour leur valeur stratégique. Par ailleurs, la sophistication de cette attaque met en lumière l’importance de la formation des équipes internes à la cybersécurité et la mise en place de politiques rigoureuses de gestion des accès.
Les entreprises doivent également investir dans des solutions de détection avancées, capables d’identifier les comportements anormaux liés aux outils open source et aux techniques comme le « Kerberoasting ». Enfin, les partenariats internationaux restent essentiels pour répondre aux menaces transnationales, en particulier face à des groupes comme Crimson Palace ou Daggerfly.
Cette attaque rappelle l’importance de rester vigilant face aux menaces cybernétiques sophistiquées. Pour approfondir vos connaissances sur la cybersécurité et suivre les dernières actualités, abonnez-vous à notre newsletter et rejoignez notre groupe WhatsApp.