Les acteurs chinois de la menace frappent les grands télécoms

Les chercheurs en sécurité ont publié des informations sur trois cybercampagnes différentes, mais probablement liées, axées sur l'espionnage. Toutes les attaques se sont concentrées sur l'infiltration des réseaux de grandes entreprises de télécommunications.

Des chercheurs de la société de sécurité Cybereason ont publié un long rapport sur les attaques, appelant collectivement les acteurs de la menace derrière eux DeadRinger. Les chercheurs pensent que DeadRinger comprend un réseau d'APT situés en Chine et exécutant des attaques « au nom des intérêts de l'État chinois ».

La conviction que les acteurs de la menace sont liés aux opérations parrainées par l'État chinois découle du fait qu'il existe des tactiques et des méthodes communes observées avec d'autres acteurs de la menace chinois.

Le rapport décrit trois groupes d'activités. Les acteurs de menace associés à ces clusters sont Soft Cell, Naikon et Emissary Panda. Collectivement, les trois pôles d'activité s'étendent de 2018 au premier semestre 2021.

Certaines des techniques décrites dans le rapport incluent l'abus des vulnérabilités zero-day dans MS Exchange Server, l'utilisation du shell Web China Chopper et l'utilisation de balises créées à l'aide du logiciel légitime de test de vulnérabilité Cobalt Strike.

Le but ultime de toutes les attaques était le cyberespionnage et la récolte d'informations privilégiées et de secrets d'entreprise. Curieusement, il y a eu des cas enregistrés où les trois APT ont été trouvés dans le même réseau compromis, en même temps.

Ce n'est toujours pas une preuve tangible que les trois acteurs de la menace DeadRinger travaillaient tous dans une poussée coordonnée et pour la même entité centrale qui les orchestre.

Les chercheurs espèrent qu'une analyse plus approfondie de l'activité malveillante dans les réseaux et environnements de télécommunications compromis contribuera à faire la lumière sur les circonstances exactes des attaques.