Service de messagerie du gouvernement américain piraté dans une campagne ciblée

La société de solutions de renseignement sur les menaces Mandiant rapporte que des hackers chinois ont excessivement ciblé et pénétré des organisations gouvernementales et liées au gouvernement lors d’attaques récentes qui ont visé le Barracuda Email Security Gateway, une vulnérabilité de type Zero-Day avec un focus spécifique sur les organisations à travers l’Amérique.

Selon la société de renseignement Mandiant, près d’un tiers des appareils piratés appartenaient à des agences gouvernementales, presque tous entre octobre et décembre 2022.

Notamment, y compris les organisations identifiées en Amérique du Nord, plusieurs autres États, villes, provinces, tribus, et bureaux municipaux ont été ciblés dans cette campagne.

Cela dit, globalement, le gouvernement local ciblé dans cette campagne représentait un peu moins de 7 % de toutes les organisations identifiées affectées. Cependant, cela augmente considérablement à presque 17 % par rapport au ciblage basé aux États-Unis.

Il semble que les motifs de l’attaque étaient d’espionner, car l’attaquant (identifié comme UNC4841) s’est engagé à pénétrer dans le système appartenant aux personnes de haute autorité dans le gouvernement ainsi que dans les secteurs de haute technologie.

Le passerelle de sécurité par e-mail a informé les utilisateurs que la faille de sécurité était utilisée pour pénétrer dans les appareils de la passerelle de sécurité le 20 mai avant que Barracuda ne corrige tous les appareils vulnérables à distance.

Environ dix jours après avoir corrigé tous les appareils vulnérables, la société a également révélé que la vulnérabilité de type zero-day avait également été exploitée dans les attaques pendant au moins sept mois depuis octobre de l’année dernière pour libérer un malware inconnu et voler des données des appareils infectés.

De plus, la société a averti le client une semaine plus tard qu’il devait remplacer immédiatement ses appareils infectés, y compris ceux corrigés, car environ 5 % de tous les appareils de la passerelle de sécurité ont été compromis, selon la société de renseignement sur les menaces.

Lire : Instagram supprime le faux compte de Tim Cook

Comme mentionné ci-dessus, les attaques ont déposé des malwares inconnus, y compris Saltwater et Seaspy, et un outil malveillant nommé SeaSlide pour obtenir un accès à distance aux appareils infectés via les shells de réserve.

CISA a également partagé des informations sur Submarine, également connu sous le nom de DeathCharge et Whirlpool, qui a été déposé dans la même attaque comme une charge utile de dernière étape pour maintenir le contrôle après l’avis de la société sur le petit nombre d’appareils infectés appartenant à ce que Mandiant pense être des cibles à enjeux élevés.

Cela indique que bien que la campagne ait eu une couverture mondiale, elle n’était pas opportuniste, et l’attaquant avait suffisamment de planification et de fonds pour s’attendre et se préparer à des incidents qui pourraient potentiellement perturber leur accès au réseau ciblé.

Le consultant senior en réponse aux incidents de la société de renseignement sur les menaces, Austin Larsen, a ajouté que nous faisons face à des adversaires redoutables qui disposent de vastes ressources, de financements et de savoir-faire pour exécuter une campagne d’espionnage mondiale sans être détectés avec succès. Les attaquants du Nexus chinois améliorent leurs attaques pour être plus percutants, furtifs et efficaces.

Cela dit, Barracuda et Mandiant n’ont pas encore trouvé de preuves de nouveaux appareils de passerelle de sécurité infectés via le CVE-2023-2868 après que la faille ait été corrigée.

En plus de cela, la semaine dernière, le Federal Bureau of Intelligence a averti que ces correctifs sont infectifs car les appareils continuent d’être infectés lors des attaques en cours.

Le FBI a également renforcé l’avertissement de Barracuda aux clients selon lequel ils devraient séparer puis remplacer l’appareil infecté dès que possible, a conseillé à la société d’examiner son réseau pour d’éventuelles intrusions, et les a exhortés à changer et à faire tourner les identifiants privés du réseau, c’est-à-dire Active Directory, pour dérouter les tentatives des attaquants de maintenir leur persistance.

De plus, l’agence fédérale d’application de la loi déclare que le FBI surveille activement toute intrusion et considère que les appareils de la passerelle de sécurité sont infectés et vulnérables à cette exploitation.

De plus, l’agence a vérifié que tous les appareils ESG infectés par Barracuda, y compris ceux corrigés, restent à risque de compromis continus des appareils par les acteurs de menace soupçonnés de Chine utilisant la faille.

Lire : La dernière mise à jour de WhatsApp permet aux utilisateurs de modifier les légendes des photos : voici les détails