Mandiant Intelligence a révélé dans une nouvelle analyse comment les acteurs du cyberespionnage chinois évoluent constamment pour demeurer insaisissables. Le rapport détaille comment ces acteurs recourent à des tactiques sophistiquées pour minimiser les possibilités de détection. Leurs méthodes incluent l'exploitation de failles zero-days dans les logiciels de sécurité, de mise en réseau et de virtualisation, ainsi que le ciblage des routeurs pour relayer et masquer le trafic.
L'analyse de Mandiant confirme avec "une grande certitude" que ces groupes de cyberespionnage chinois utilisent ces techniques pour compliquer leur détection et leur attribution. Les tactiques employées par ces opérateurs ont continuellement évolué pour devenir plus furtives et complexes, notamment à la suite de la restructuration de l'armée et des services de renseignement chinois au milieu des années 2010.
Accroître leur furtivité en diversifiant les vecteurs
Les techniques "living-off-the-land" (LotL), la compromission de la chaîne d'approvisionnement en logiciels et l'utilisation de logiciels malveillants accessibles au public, sans fichier ou modulaires, sont de plus en plus utilisées pour accroître leur furtivité.Mandiant Intelligence souligne que le cyberespionnage chinois a spécifiquement ciblé les technologies de sécurité, de mise en réseau et de virtualisation en 2021 et 2022. Le ciblage de ces dispositifs offre plusieurs avantages tactiques pour obtenir et maintenir un accès discret aux réseaux des victimes.
L'étude cite l'exemple de UNC3886, un acteur présumé du cyberespionnage chinois, qui a utilisé de multiples stratégies d'attaque en 2022 pour établir une présence durable au sein des organisations ciblées. Le corsaire chinois du numérique a priorisé le contournement des journaux et des contrôles de sécurité et a employé des méthodes non traditionnelles pour éviter la détection. Il a utilisé de multiples voies d'attaque et deux vulnérabilités zero-day pour établir une persistance au sein des organisations ciblées et finalement accéder à des environnements virtualisés. Il a principalement ciblé la base industrielle de défense (DIB), la technologie et les organisations de télécommunications aux États-Unis et en Asie.
Un exemple de mesures radicales pour ne pas être détecté
UNC3886 a pris des mesures radicales pour ne pas être détecté dans les environnements des victimes. Les attaquants ont limité leur présence sur les réseaux combinant les appliance de sécurité Fortinet et les technologies de virtualisation VMware, des dispositifs et des plateformes traditionnellement dépourvus de solutions EDR. Les logiciels malveillants et les exploits personnalisés du groupe ont donné la priorité au contournement des journaux et des contrôles de sécurité, par exemple en utilisant des protocoles non traditionnels (sockets VMCI) qui ne sont pas enregistrés par défaut et qui n'ont pas de restrictions de sécurité pour interagir entre les hyperviseurs et les machines virtuelles invitées (VM). UNC3886 a également effacé et modifié des journaux et désactivé la vérification du système de fichiers au démarrage pour éviter d'être détecté.Il a utilisé des familles de logiciels malveillants conçues pour interférer avec les dispositifs Fortinet, notamment THINCRUST, CASTLETAP, TABLEFLIP et REPTILE. UNC3886 a exploité la vulnérabilité CVE-2022-41328 pour effacer des fichiers légitimes dans un répertoire système normalement restreint. Ayant accès aux dispositifs Fortinet, l'acteur de la menace a interagi avec les serveurs VMware vCenter et a tiré parti de bundles d'installation vSphere (VIB) malveillants pour installer les portes dérobées personnalisées, VIRTUALPITA et VIRTUALPIE, sur les hyperviseurs ESXi. Il a exploité une vulnérabilité de contournement d'authentification CVE-2023-20867 sur les hôtes ESXi pour permettre l'exécution de commandes privilégiées sur les machines virtuelles invitées sans qu'aucun journal supplémentaire ne soit généré sur les machines virtuelles invitées.
Des logiciels malveillants personnalisés
Mandiant a également observé une tendance chez les acteurs du cyberespionnage chinois à déployer des logiciels malveillants personnalisés pour relayer et dissimuler le trafic au sein des réseaux des victimes. L'étude a également souligné une évolution vers des opérations plus ciblées, plus furtives et plus efficaces au cours de la dernière décennie.En conclusion, le rapport indique que des investissements à long terme ont été réalisés pour doter les cyberespions chinois de tactiques, d'outils et d'exploits plus sophistiqués. Cette évolution pourrait être due à la restructuration des forces armées et des services de renseignement, ainsi qu'à un partage accru des infrastructures de développement et de logistique. Mandiant estime que ces investissements commencent à porter leurs fruits, ce qui implique que le paysage du cyberespionnage devient de plus en plus complexe.