L'APT41 chinois a violé les réseaux du gouvernement américain via l'application USAHerds
Les chercheurs en sécurité de Mandiant Security ont récemment publié un rapport détaillant leurs découvertes sur les activités récentes d' APT41 - une organisation de cybercriminalité qui aurait le soutien de l'État chinois. Selon Mandiant, APT41 a réussi à utiliser une combinaison d' attaques Log4j et de vulnérabilités zero-day pour compromettre plusieurs réseaux du gouvernement américain.
Zero-days et Log4j utilisés ensemble
Les vulnérabilités zero-day en question se trouvent dans une application appelée USAHerds. Il s'agit d'un outil utilisé par les éleveurs à travers les États-Unis en tant que "système de gestion des informations sur la santé animale". L'application existe depuis plusieurs années maintenant. Cependant, ce n'est que récemment qu'APT41 a réussi à abuser de ses failles de sécurité.
On pense qu'APT41 est une organisation chinoise parrainée par l'État qui se livre traditionnellement au cyberespionnage. Lors de cette dernière attaque, les chercheurs ont repéré de nouveaux outils, de nouvelles méthodes pour échapper à la détection et de nouvelles techniques employées par l'auteur de la menace.
La vulnérabilité utilisée pour accéder aux réseaux américains est identifiée comme CVE-2021-44207. L'attaque a utilisé une approche à deux volets, tirant également parti de la tristement célèbre vulnérabilité Log4j. La vulnérabilité dans USAHerds a été corrigée en novembre 2021 et reposait sur l'utilisation par l'application de clés de validation et de chiffrement codées en dur, permettant finalement l'exécution de code à distance sur le système.
L'application a partagé ces clés statiques sur toutes les instances installées, au lieu d'en générer des uniques à chaque installation, ce qui constitue un problème de sécurité important, selon les chercheurs.
Au moins six réseaux accessibles par APT41
Il n'y a aucun moyen de savoir comment APT41 a réussi à obtenir les valeurs de clé partagées, mais une fois qu'ils y ont eu accès, ils ont pu accéder à "n'importe quel serveur" exécutant l'application USAHerds. Même si six réseaux du gouvernement américain sont connus pour avoir été compromis lors de l'attaque, Mandiant s'attend à ce qu'il y ait plus de victimes qui n'ont tout simplement pas été enregistrées.
APT41 cible depuis longtemps des entités basées aux États-Unis, avec des attaques associées à la même tenue remontant à 2019. Le groupe est connu pour être vif et agile en matière d'évasion et utiliser des techniques avancées pour infiltrer ses cibles.