High Tech

Microsoft s’empare des domaines utilisés par des « très sophistiqués »

Une carte mère a été photoshopée pour inclure un drapeau chinois.
Agrandir / Puce d’ordinateur avec drapeau chinois, illustration conceptuelle 3d.

Microsoft a déclaré avoir pris le contrôle des serveurs qu’un groupe de piratage informatique basé en Chine utilisait pour compromettre des cibles qui correspondent aux intérêts géopolitiques de ce pays.

Le groupe de piratage, que Microsoft a surnommé Nickel, est dans le collimateur de Microsoft depuis au moins 2016 et la société de logiciels suit la campagne de collecte de renseignements désormais interrompue depuis 2019. Les attaques contre les agences gouvernementales, les groupes de réflexion et les humains organisations de défense des droits aux États-Unis et dans 28 autres pays – étaient « très sophistiquées », a déclaré Microsoft, et utilisaient diverses techniques, notamment l’exploitation des vulnérabilités des logiciels que les cibles n’avaient pas encore corrigées

En bas mais pas dehors

À la fin de la semaine dernière, Microsoft a demandé une ordonnance du tribunal pour saisir les sites Web que Nickel utilisait pour compromettre des cibles. Le tribunal du district américain du district oriental de Virginie a accueilli la requête et descellé l’ordonnance lundi. Avec le contrôle de l’infrastructure de Nickel, Microsoft va désormais « goupiller » le trafic, ce qui signifie qu’il est détourné des serveurs de Nickel et vers des serveurs exploités par Microsoft, ce qui peut neutraliser la menace et obtenir des informations sur le fonctionnement du groupe et de ses logiciels.

« Prendre le contrôle des sites Web malveillants et rediriger le trafic de ces sites vers les serveurs sécurisés de Microsoft nous aidera à protéger les victimes existantes et futures tout en en apprenant davantage sur les activités de Nickel », a écrit Tom Burt, vice-président de la société Customer Security & Trust dans un article de blog. « Notre perturbation n’empêchera pas Nickel de poursuivre d’autres activités de piratage, mais nous pensons avoir supprimé un élément clé de l’infrastructure sur laquelle le groupe s’appuyait pour cette dernière vague d’attaques. »

Les organisations ciblées comprenaient celles des secteurs privé et public, y compris les entités diplomatiques et les ministères des Affaires étrangères d’Amérique du Nord, d’Amérique centrale, d’Amérique du Sud, des Caraïbes, d’Europe et d’Afrique. Souvent, il y avait une corrélation entre les cibles et les intérêts géopolitiques en Chine.

Les organisations ciblées étaient situées dans d’autres pays, notamment l’Argentine, la Barbade, la Bosnie-Herzégovine, le Brésil, la Bulgarie, le Chili, la Colombie, la Croatie, la République tchèque, la République dominicaine, l’Équateur, le Salvador, la France, le Guatemala, le Honduras, la Hongrie, l’Italie, la Jamaïque, le Mali , Mexique, Monténégro, Panama, Pérou, Portugal, Suisse, Trinité-et-Tobago, Royaume-Uni et Venezuela.

Les noms que d’autres chercheurs en sécurité utilisent pour Nickel incluent « KE3CHANG », « APT15 », « Vixen Panda », « Royal APT » et « Playful Dragon ».

Plus de 10 000 sites supprimés

L’action en justice de Microsoft la semaine dernière était la 24e action en justice intentée par la société contre des acteurs menaçants, dont cinq étaient parrainés par le pays. Les poursuites ont abouti au retrait de 10 000 sites Web malveillants utilisés par des pirates informatiques à motivation financière et de près de 600 sites utilisés par des pirates informatiques d’États-nations. Microsoft a également bloqué l’enregistrement de 600 000 sites que les pirates avaient prévu d’utiliser dans des attaques.

Dans ces poursuites, Microsoft a invoqué diverses lois fédérales, notamment le Computer Fraud and Abuse Act, l’Electronic Communications Privacy Act et la loi américaine sur les marques, comme moyen de saisir les noms de domaine utilisés pour les serveurs de commande et de contrôle. Des actions en justice ont conduit à la saisie en 2012 des infrastructures utilisées par le Kremlin soutenu Groupe de piratage Fancy Bear ainsi que des groupes d’attaque parrainés par la nation en Iran, en Chine et en Corée du Nord. Le fabricant de logiciels a également utilisé des poursuites pour perturber les botnets avec des noms tels que Zeus, Nitol, ZéroAccès, Bamatal, et TrickBot. Une action en justice engagée par Microsoft en 2014 a entraîné le retrait de plus d’un million de serveurs légitimes qui reposent sur No-IP.com, empêchant ainsi un grand nombre de personnes respectueuses de la loi d’accéder à des sites Web bénins. Microsoft était amèrement fustigé pour le déménagement.

VPN, identifiants volés et serveurs non corrigés

Dans certains cas, Nickel a piraté des cibles à l’aide de fournisseurs VPN tiers compromis ou d’informations d’identification volées obtenues par hameçonnage. Dans d’autres cas, le groupe a exploité des vulnérabilités corrigées par Microsoft, mais les victimes n’avaient pas encore installé sur les systèmes Exchange Server ou SharePoint sur site. Un séparé article de blog publié par le Threat Intelligence Center de Microsoft a expliqué :

MSTIC a observé des acteurs de NICKEL utilisant des exploits contre des systèmes non corrigés pour compromettre les services et les appareils d’accès à distance. Après une intrusion réussie, ils ont utilisé des dumpers ou des voleurs d’informations d’identification pour obtenir des informations d’identification légitimes, qu’ils ont utilisées pour accéder aux comptes des victimes. Les acteurs de NICKEL ont créé et déployé des logiciels malveillants personnalisés qui leur ont permis de maintenir la persistance sur les réseaux des victimes pendant de longues périodes. Le MSTIC a également observé que NICKEL procédait à une collecte et à une exfiltration de données fréquentes et planifiées à partir des réseaux victimes.

NICKEL compromet avec succès les réseaux à l’aide d’attaques sur des applications Web accessibles sur Internet s’exécutant sur Microsoft Exchange et SharePoint non corrigés. Ils attaquent également les infrastructures d’accès à distance, telles que les appliances VPN non corrigées, comme indiqué dans le FireEye avril 2021 blog détaillant une vulnérabilité de 0 jour dans Pulse Secure VPN qui a depuis été patché.

Après avoir pris pied sur un système compromis, les acteurs de NICKEL ont régulièrement effectué une reconnaissance sur le réseau, s’efforçant d’accéder à des comptes supplémentaires ou à des systèmes de plus grande valeur. NICKEL déployait généralement un enregistreur de frappe pour capturer les informations d’identification des utilisateurs sur des systèmes compromis. Nous avons observé NICKEL utilisant Mimikatz, WDigest (une ancienne méthode d’authentification qui permet à l’attaquant d’accéder aux informations d’identification en texte clair), NTDSDump et d’autres outils de vidage de mots de passe pour collecter des informations d’identification sur un système ciblé et à partir de navigateurs cibles.

Les pirates de Nickel ont également utilisé des informations d’identification compromises pour se connecter aux comptes Microsoft 365 des cibles via des connexions normales avec un navigateur et l’ancien protocole Exchange Web Services. L’activité a permis aux pirates d’examiner et de collecter des e-mails sensibles. Microsoft a également observé que Nickel se connectait avec succès à des comptes compromis via des fournisseurs VPN commerciaux et une infrastructure contrôlée par les acteurs.

Ce dernier article de blog fournit des suggestions pour parer aux attaques de Nickel ainsi que des indicateurs que les administrateurs peuvent utiliser pour déterminer si elles ont été ciblées ou compromises par le groupe de piratage.


Source link

Articles similaires

Bouton retour en haut de la page