Une cyberattaque de 4 mois contre une entreprise américaine révèle une menace avancée liée à des pirates informatiques chinois

Une cyberattaque récemment découverte a mis en lumière une opération extrêmement sophistiquée visant une importante organisation américaine, avec des preuves pointant vers des pirates informatiques sponsorisés par l'État chinois. Cette intrusion alarmante, détaillée dans un rapport de Symantec, propriété de Broadcom, a duré au moins quatre mois cette année, à partir d'avril et peut-être même avant. L'ampleur et les méthodes de l'attaque soulignent l'évolution des stratégies des cyber-adversaires et les risques auxquels sont confrontées les organisations critiques du monde entier.

Des tactiques et des outils sophistiqués mettent en évidence les menaces avancées

Symantec a identifié les premiers signes de la faille le 11 avril 2024 et a constaté que l'attaque a persisté jusqu'en août. Pendant cette période, les attaquants se sont déplacés latéralement sur le réseau de la victime, compromettant de nombreuses machines. Certains des systèmes ciblés étaient des serveurs Microsoft Exchange, une manœuvre qui suggère que les attaquants cherchaient à recueillir des renseignements en accédant à des données de courrier électronique sensibles.

Les outils d'exfiltration déployés au cours de la campagne confirment que des informations précieuses ont été extraites de l'infrastructure de la victime. Les pirates ont utilisé une combinaison d'outils open source et d'utilitaires Windows intégrés pour mener à bien leur attaque. Des outils comme FileZilla, Impacket et PSCP ont été déployés parallèlement à des techniques de survie, exploitant Windows Management Instrumentation (WMI), PsExec et PowerShell pour exécuter des commandes malveillantes et se fondre dans une activité réseau légitime.

Le rôle de la Chine et l'utilisation des techniques de cyberespionnage

Bien que le nom de l'organisation ciblée n'ait pas été dévoilé, ses opérations importantes en Chine renforcent les soupçons selon lesquels les attaquants étaient liés à des groupes parrainés par l'État chinois. La cyberattaque s'appuyait largement sur le chargement latéral de DLL, une tactique caractéristique des équipes de piratage chinois. Les artefacts de la violation correspondent à ceux observés dans « Crimson Palace », une opération antérieure soutenue par l'État. De plus, cette organisation avait déjà été ciblée en 2023 par un groupe connu sous le nom de Daggerfly, également appelé Bronze Highland, Evasive Panda et StormBamboo.

Des implications plus larges pour la cybersécurité

Cette faille reflète des tendances plus larges au sein de l’écosystème offensif de la Chine, qu’Orange Cyberdefense a analysé en détail. Les opérations parrainées par l’État chinois brouillent souvent les frontières entre entités publiques et privées, en s’appuyant sur les universités pour la recherche avancée et en employant des sous-traitants pour exécuter les attaques. De fausses sociétés sont souvent créées par des individus liés à l’armée ou aux unités de renseignement chinoises pour masquer l’attribution, acquérir des infrastructures numériques et recruter des pirates informatiques sans éveiller les soupçons.

Ces résultats soulignent le caractère persistant et avancé des cyberopérations chinoises. La campagne visant cette entreprise américaine rappelle brutalement l’évolution du paysage des menaces et l’importance de solides défenses en matière de cybersécurité pour protéger les actifs critiques des adversaires des États-nations.