Porte dérobée GhostSpider
Un groupe de cyberespionnage sophistiqué lié à la Chine, connu sous le nom de Earth Estries, cible les télécommunications et les entités gouvernementales en Asie du Sud-Est et au-delà. Le groupe a utilisé diverses techniques avancées pour infiltrer des industries critiques, notamment en utilisant une porte dérobée non documentée appelée GhostSpider. Cet acteur malveillant a également été observé en train d'exploiter plusieurs vulnérabilités pour obtenir un accès non autorisé à ses cibles, révélant la sophistication croissante des capacités cybernétiques de la Chine.
Table des matières
GhostSpider : la porte dérobée non documentée
GhostSpider, un nouvel ajout à l'arsenal des Earth Estries, a été utilisé comme méthode principale pour infiltrer les réseaux. Cette porte dérobée est très ciblée, spécialement conçue pour exploiter les faiblesses de l'infrastructure des entreprises de télécommunications d'Asie du Sud-Est. Les Earth Estries utilisent cet outil en combinaison avec le RAT MASOL (également connu sous le nom de Backdr-NQ), une autre porte dérobée, pour cibler à la fois les systèmes Linux et les systèmes de réseau gouvernementaux. La stratégie du groupe consistant à utiliser des logiciels malveillants personnalisés assure une présence persistante au sein des réseaux compromis, permettant ainsi un cyberespionnage à long terme.
Une portée mondiale : cibler plusieurs secteurs
Le groupe Earth Estries a fait des progrès considérables en compromettant un large éventail de secteurs, notamment les télécommunications, la technologie, le conseil, les transports, les industries chimiques et les organisations gouvernementales. Les opérations du groupe couvrent plus de 20 victimes dans plus d'une douzaine de pays, dont l'Afghanistan, le Brésil, l'Inde, l'Indonésie, la Malaisie, l'Afrique du Sud, les États-Unis et le Vietnam. Ce large ciblage souligne la capacité et l'ambition du groupe, avec environ 150 victimes touchées par ses activités, en particulier au sein du gouvernement américain et du secteur privé.
Les outils de la terre Estries
Parmi les nombreux outils dont dispose The Earth Estries, on trouve le rootkit Demodex et Deed RAT (également connu sous le nom de SNAPPYBEE). Ces outils, ainsi que d'autres comme Crowdoor et TrillClient, font partie intégrante des opérations du groupe. ShadowPad, une famille de malwares largement utilisée par les groupes APT chinois, aurait influencé le développement de Deed RAT, un successeur probable. Ces portes dérobées et voleurs d'informations avancés permettent à The Earth Estries de rester caché tout en exfiltrant des informations sensibles de leurs cibles.
Exploiter les vulnérabilités pour un accès initial
Pour accéder à ses cibles, Earth Estries s'appuie largement sur les vulnérabilités N-day, qui sont des failles logicielles qui ont été divulguées publiquement mais pas encore corrigées par les utilisateurs. Parmi les vulnérabilités les plus couramment exploitées figurent celles d'Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall et Microsoft Exchange Server. Une fois ces vulnérabilités exploitées, Earth Estries déploie son malware personnalisé, s'intégrant davantage dans le réseau compromis pour une surveillance à long terme et la collecte de données.
Un groupe complexe et bien organisé
Le groupe Earth Estries opère selon une approche très structurée et organisée. D'après l'analyse de plusieurs campagnes, il apparaît que différentes équipes au sein du groupe sont chargées de cibler des régions et des industries spécifiques. L'infrastructure de commandement et de contrôle (C2) du groupe est également décentralisée, avec des équipes distinctes gérant différentes opérations de porte dérobée. Cette segmentation permet une série d'attaques plus complexes et coordonnées dans divers secteurs.
GhostSpider : un implant multi-module
Au cœur des opérations des Earth Estries se trouve l'implant GhostSpider. Cet outil sophistiqué communique avec l'infrastructure contrôlée par l'attaquant via un protocole personnalisé sécurisé par Transport Layer Security (TLS). L'implant peut récupérer des modules supplémentaires selon les besoins, étendant ainsi ses fonctionnalités. Sa flexibilité en fait un outil puissant pour le cyberespionnage à long terme, permettant aux Earth Estries d'adapter et de faire évoluer leurs opérations en fonction de la situation.
Tactiques de furtivité et d'évasion
Les Earth Estries utilisent diverses techniques de furtivité pour éviter d'être détectés. Le groupe lance ses attaques sur les périphériques, puis étend progressivement sa portée aux environnements cloud, ce qui rend sa présence difficile à détecter. En restant discret et en se cachant derrière plusieurs couches d'infrastructures, les Earth Estries s'assurent que leurs activités passent inaperçues pendant de longues périodes, ce qui permet une collecte de données ininterrompue.
Les entreprises de télécommunications : une cible fréquente
Les entreprises de télécommunications sont depuis longtemps une cible de choix pour les groupes de cybermenace liés à la Chine, les Earth Estries rejoignant les rangs d'autres groupes tels que Granite Typhoon et Liminal Panda. Ces attaques révèlent la maturation accrue du programme cybernétique de la Chine, qui est passé de frappes ponctuelles à la collecte massive de données et à des campagnes soutenues visant les fournisseurs de services critiques. L'accent mis par les Earth Estries sur les fournisseurs de services gérés (MSP), les fournisseurs d'accès Internet (ISP) et les fournisseurs de plateformes signale un changement dans la stratégie de la Chine pour obtenir un accès continu aux réseaux de communication mondiaux.
Conclusion : une menace croissante en matière de cyberespionnage
Alors que les opérations de Earth Estries continuent d’augmenter, elles mettent en évidence les capacités croissantes des groupes de cyberespionnage liés à la Chine. L’utilisation de logiciels malveillants sophistiqués, combinée à une concentration sur les secteurs d’infrastructures critiques, démontre une menace bien organisée et évolutive. Pour les organisations des régions touchées, la nécessité d’une vigilance accrue et de mesures de cybersécurité robustes n’a jamais été aussi cruciale.
Porte dérobée GhostSpider Vidéo
Astuce: Activez votre son et regarder la vidéo en mode plein écran.