Des hackers chinois ont ciblé les clients de SolarWinds en parallèle avec l’opération russe

À l’heure actuelle, la plupart des gens savent que des pirates informatiques liés au gouvernement russe ont compromis le système de construction du logiciel SolarWinds et l’ont utilisé pour envoyer une mise à jour malveillante à quelque 18 000 clients de l’entreprise. Lundi, des chercheurs ont publié des preuves selon lesquelles des pirates informatiques chinois ciblaient également les clients de SolarWinds dans ce que les analystes de sécurité ont qualifié d’opération nettement différente.

Les campagnes de piratage parallèles sont de notoriété publique depuis décembre, lorsque les chercheurs ont révélé qu’en plus de l’attaque de la chaîne d’approvisionnement, les pirates exploitaient une vulnérabilité du logiciel SolarWinds appelée Orion. Les pirates de cette dernière campagne ont utilisé l’exploit pour installer un shell Web malveillant surnommé Supernova sur le réseau d’un client qui utilisait l’outil de gestion de réseau. Les chercheurs, cependant, n’avaient que peu ou pas d’indices sur l’auteur de cette attaque.

Lundi, les chercheurs ont déclaré que l’attaque avait probablement été menée par un groupe de piratage basé en Chine qu’ils ont surnommé «Spiral». La découverte, exposée dans un rapport publié lundi par l’Unité de lutte contre les menaces de Secureworks, est basée sur des techniques, des tactiques et des procédures de piratage qui étaient identiques ou très similaires à un compromis antérieur que les chercheurs avaient découvert dans le même réseau.

Frappé sur plus d’un front

Cette découverte fait suite à l’annonce que les pirates informatiques basés en Chine, surnommés Hafnium, font partie d’au moins cinq groupes de pirates informatiques derrière des attaques qui ont installé des coquilles Web malveillantes sur des dizaines de milliers de serveurs Microsoft Exchange. Le rapport de lundi montre qu’il n’y a pas de pénurie d’APT – abréviation de pirates informatiques avancés et persistants – déterminés à cibler un large éventail d’organisations basées aux États-Unis.

«À un moment où tout le monde est à la recherche de webshells HAFNIUM à cause de l’échange zéro jour dont nous avons entendu parler la semaine dernière, l’activité de SPIRAL nous rappelle que les entreprises se font écraser sur plus d’un front», Juan Andres Guerrero-Saade, principal chercheur sur les menaces à la société de sécurité SentinelOne, a déclaré dans un message direct. Le rapport est «un rappel de la diversité et de l’étendue de l’écosystème APT».

Les chercheurs de Counter Threat Unit ont déclaré avoir rencontré Supernova en novembre alors qu’ils répondaient au piratage du réseau d’un client. Comme d’autres interpréteurs de commandes Web malveillants, Supernova a été installé après que les attaquants aient réussi à exécuter du code malveillant sur les systèmes de la cible. Les attaquants ont ensuite utilisé Supernova pour envoyer des commandes qui volaient des mots de passe et d’autres données donnant accès à d’autres parties du réseau.

Les chercheurs de Secureworks CTU pensaient déjà que la vitesse et la précision chirurgicale du mouvement à l’intérieur du réseau de la cible suggéraient que Spiral avait une expérience préalable à l’intérieur. Ensuite, les chercheurs ont remarqué des similitudes entre le piratage de novembre et celui que les chercheurs avaient découvert en août 2020. Les attaquants du piratage précédent ont probablement obtenu un accès initial dès 2018 en exploitant une vulnérabilité dans un produit connu sous le nom de ManageEngine ServiceDesk, ont déclaré les chercheurs. .

«Les chercheurs de la CTU étaient initialement incapables d’attribuer l’activité d’août à des groupes menaçants connus», ont écrit les chercheurs. “Cependant, les similitudes suivantes avec l’intrusion SPIRAL fin 2020 suggèrent que le groupe de menace SPIRAL était responsable des deux intrusions:”

• Les acteurs de la menace ont utilisé des commandes identiques pour vider le processus LSASS via comsvcs.dll et ont utilisé le même chemin de fichier de sortie (voir Figure 6) .Dump de processus Agrandissement / LSASS à partir d’août 2020 en utilisant une commande identique à l’incident de novembre 2020.
• Les deux mêmes serveurs ont été accédés: un contrôleur de domaine et un serveur pouvant fournir un accès à des données commerciales sensibles.
• Le même chemin «c: userspublic» (tout en minuscules) a été utilisé comme répertoire de travail.
• Trois comptes d’administrateur compromis ont été utilisés dans les deux intrusions.

Les chercheurs de la CTU savaient déjà que des pirates chinois exploitaient les serveurs MangeEngine pour accéder à long terme aux réseaux d’intérêt. Mais cela seul ne suffisait pas pour déterminer que Spiral avait ses origines en Chine. Les chercheurs sont devenus plus confiants dans la connexion après avoir remarqué que les pirates informatiques lors de l’incident d’août avaient accidentellement exposé l’une de leurs adresses IP. Il a été géolocalisé en Chine.

Les pirates ont révélé leur adresse IP lorsqu’ils ont volé le logiciel de détection des points de terminaison que Sercureworks avait vendu au client piraté. Pour des raisons qui ne sont pas claires, les pirates ont ensuite exécuté le produit de sécurité sur l’un de leurs ordinateurs, auquel cas il a exposé son adresse IP en contactant un serveur Secureworks.

La convention de dénomination de l’ordinateur des pirates était la même que celle d’un autre ordinateur que les pirates avaient utilisé lors de la connexion au réseau via un VPN. Prises ensemble, les preuves recueillies par les chercheurs de la CTU leur ont donné l’assurance que les deux piratages ont été effectués par le même groupe et que le groupe était basé en Chine.

«Les similitudes entre l’activité liée à SUPERNOVA en novembre et l’activité analysée par les chercheurs de la CTU en août suggèrent que le groupe de menace SPIRAL était responsable des deux intrusions», ont écrit les chercheurs de la CTU. «Les caractéristiques de ces intrusions indiquent une connexion possible avec la Chine.»