Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

FireEye découvre une campagne de piratage menée depuis 10 ans
Par le groupe APT 30, qui serait parrainé par la Chine

Le , par Olivier Famien

0PARTAGES

0  0 
FireEye vient de découvrir une campagne d’attaques menées par un groupe baptisé APT 30. Ces attaques trouvent leurs origines depuis 2005 et ont ciblé plusieurs entités dans différentes régions du globe afin de voler des informations sensibles. Les principales cibles sont issues de l’Asie du Sud-est et particulièrement la Thaïlande, la Corée du Sud, Le Vietnam, l’Inde et la Malaisie.

Les découvertes faites suggèrent que ces auteurs ont un intérêt particulier pour les problèmes politiques, militaires et économiques de la région citée ainsi que les médias, organisations et journalistes rapportant des informations liées à la Chine et à la légitimité de son gouvernement. Tous ces faits ont poussé FireEye à pointer du doigt la Chine comme commanditaire probable de ces attaques.

Pour infecter leurs victimes, les auteurs des attaques se servent d’un ensemble d’outils composés de portes dérobées, de téléchargeurs, d’un contrôleur central et plusieurs autres composants.

Comme exemple d’infection, FireEye explique que les portes dérobées sont installées sur les terminaux de la victime. De leur côté, les attaquants installent deux fichiers sur le serveur hôte C2 du premier niveau. Le backdoor BackSpace installé sur le poste de la victime retrouve à son tour les fichiers installés sur le serveur C2 du premier niveau et transmet les informations sur la victime par des requêtes HTTP vers l’adresse et le port (Serveur C2 du second niveau) spécifié dans le fichier d’infection. Ces informations sont utilisées pour renseigner le contrôleur disposant d’une interface graphique.

Il faut préciser que deux portes dérobées dénommées BackSpace et Neteagle ont été utilisées durant toute cette période. Elles ont évolué au cours des années pour donner deux familles de menaces respectives. BackSpace a accouché de ZR et ZJ tandis que NetEagle a donné Scout et Norton. Toutefois, les variantes de ces différentes attaques ont peu ou pas modifié dans leur mode opératoire durant toutes ces années.

Il faut également noter qu’aucune communication directe n’est effectuée entre la porte dérobée du client et celle du contrôleur. Cela exposerait le serveur C2 du second niveau. Lorsque l’attaquant souhaite établir un contrôle à distance du poste de la victime, il télécharge un fichier (connect.gif par exemple) afin d’envoyer une notification contenant les références de la victime au premier niveau du serveur C2. C’est ce fichier que va analyser le terminal de la victime afin de se connecter au contrôleur BackSapce en utilisant les références présentes dans le fichier émis.

En examinant l’extension de certains fichiers qui sont de types .exe et .dll, ces backdoors auraient été conçus en priorité pour infecter les systèmes Windows même si rien ne prouve qu’une extension sur d’autres plateformes soit envisageable.

Nous précisons, par ailleurs, qu’à chaque fois une seule copie du malware est exécutée sur les réseaux et se met à jour automatiquement afin d’opérer avec la dernière version du vecteur.

Cette attaque n’est pas monstrueusement sophistiquée, mais a pu se pérenniser durant une décennie entière sans être détectée du fait que les « les organisations en Asie estiment qu’elles ne sont pas susceptibles d’être la cible d’une cyber menace avancée. En fait, les attaquants chevronnés, conscients de la complaisance, exploitent, cette faille » a affirmé FireEye. Et de conclure que « c’est un signe clair que leurs victimes ne réalisent pas ce qui se passe ».

Source : FireEye

Télécharger le rapport complet de FireEye

Et vous ?

Que pensez-vous de ces attaques ?

Pensez-vous que d’autres entités pourraient se cacher derrière ces actions ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 14/04/2015 à 22:34
Comme pour l'ensemble des attaques subies par les entreprises françaises depuis les attentats de Charlie Hebdo, il reste claire qu'Apt30 dispose d'appuis logistiques comme financiers d'un Etat. Ce ne sont que des mercenaires à la solde d'une grande puissance, tout comme cybercaliphat, l'auteur de l'attaque de TV5, retentissante médiatiquement mais aux conséquences en soit plus spectaculaires que dramatiques.

Le véritable drame se trouve dans le confort de la loi renseignement. La prise de conscience est là mais la mesure reste inadéquate.
3  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 15/04/2015 à 1:32
100% d'accord avec marsupial.

j'en profite pour rebondir, un peu hors du sujet principal et uniquement sur la dernière remarque;
Citation Envoyé par marsupial Voir le message
Le véritable drame se trouve dans le confort de la loi renseignement. La prise de conscience est là mais la mesure reste inadéquate.
qu'on se le dise la neutralité du net vient de sauter purement et simplement, bien dissimulée derrière le cheval de Troie de la lutte contre le terrorisme.

on peut par ailleurs lire un peu partout que "63% des français sont d'accord pour rogner un peu sur leurs libertés si ça leur assure plus de sécurité", je me contenterais de citer Benjamin Franklin, "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux".
3  0