Velvet Ant : Une Campagne de Cyber-Espionnage Sophistiquée
Des pirates informatiques présumés liés à la Chine ont mené une attaque prolongée contre une organisation non précisée en Asie de l’Est sur une période d’environ trois ans.
L’adversaire a instauré une persistance à l’aide d’anciens appareils F5 BIG-IP, les utilisant comme des centres de commande et de contrôle (C&C) internes pour échapper à la détection.
La société de cybersécurité Sygnia, qui est intervenue en fin 2023, a nommé cette activité « Velvet Ant ».
Selon Sygnia, les capacités de ces acteurs leur permettent de s’adapter rapidement pour contourner les mesures de remédiation :
« Velvet Ant est un acteur de menace sophistiqué et innovant, » a indiqué l’entreprise israélienne dans un rapport technique.
Utilisation de PlugX et Techniques d’Esquive
Les chaînes d’attaque comprennent l’utilisation d’un cheval de Troie d’accès à distance (RAT) modulaire nommé PlugX, également connu sous le nom de Korplug.
PlugX est largement utilisé par des opérateurs d’espionnage liés à des intérêts chinois et repose fortement sur une technique appelée le chargement DLL malveillant pour infiltrer les systèmes.
Sygnia a également identifié des tentatives des pirates pour désactiver les logiciels de sécurité des terminaux avant d’installer PlugX.
Pour ce faire, ils ont utilisé des outils open-source comme Impacket pour effectuer des mouvements latéraux.
Dans leurs efforts de réponse et de remédiation, Sygnia a découvert une variante modifiée de PlugX utilisant un serveur de fichiers interne comme C&C, ce qui permet au trafic malveillant de se fondre dans le trafic légitime du réseau.
« Cela signifiait que l’adversaire déployait deux versions de PlugX dans le réseau, » a noté l’entreprise.
« La première version, configurée avec un serveur C&C externe, était installée sur des points d’accès avec un accès direct à Internet, facilitant l’exfiltration des informations sensibles.
La seconde version, sans configuration C&C, était déployée exclusivement sur des serveurs anciens. »
En particulier, la seconde variante exploitait des appareils F5 BIG-IP obsolètes comme canal dissimulé pour communiquer avec le serveur C&C externe, utilisant un tunnel SSH inversé pour émettre des commandes.
Ceci démontre encore une fois combien la compromission des appareils en périphérie peut permettre aux acteurs malveillants d’établir une persistance à long terme.
Risque et Impact des Vulnérabilités des Appareils de Périphérie
« Il suffit d’un seul service de bordure vulnérable, c’est-à-dire un logiciel accessible depuis Internet, pour qu’un incident de masse survienne, » a déclaré WithSecure dans une analyse récente.
Souvent conçus pour renforcer la sécurité d’un réseau, de nombreux appareils de bordure ont présenté des vulnérabilités exploitées par les attaquants, leur offrant ainsi un point d’appui idéal dans un réseau cible.
L’analyse forensique des appareils F5 compromis a également révélé la présence d’un outil nommé PMCD, qui interroge le serveur C&C de l’attaquant toutes les 60 minutes pour exécuter des commandes, ainsi que des programmes supplémentaires pour capturer des paquets réseau et un utilitaire de tunnelisation SOCKS appelé EarthWorm.
EarthWorm a été utilisé par des acteurs comme Gelsemium et Lucky Mouse.
Bien que la méthode exacte de pénétration initiale – qu’il s’agisse de spear-phishing ou d’exploitation de failles de sécurité connues dans des systèmes exposés à Internet – n’ait pas encore été déterminée, cette attaque s’inscrit dans une série de campagnes de cyber-espionnage liées à la Chine.
Les clusters émergents comme Unfading Sea Haze, Operation Diplomatic Specter et Operation Crimson Palace ont également été observés ciblant l’Asie dans le but de recueillir des informations sensibles.
Cet incident démontre l’importance cruciale de maintenir ses appareils de sécurité à jour et de se méfier des vulnérabilités qui pourraient être exploitées par des acteurs malveillants.
Une vigilance continue et des mesures de sécurité robustes sont indispensables pour protéger les réseaux contre ces menaces sophistiquées.
Un Risque Insidieux pour les Entreprises et les Données Sensibles
La campagne de cyber-espionnage « Velvet Ant » représente un risque considérable pour toute organisation exploitant des appareils de sécurité en périphérie de leur réseau, tels que les F5 BIG-IP.
Le plus grand danger réside dans la persistance à long terme des attaquants, leur permettant de collecter des informations sensibles et d’intensifier les dommages.
Pour les entreprises, les conséquences peuvent être catastrophiques : perte de données clients, atteinte à la réputation, et potentiellement des impacts financiers significatifs.
Leur capacité à utiliser des appareils obsolètes comme vecteurs de compromission démontre une sophistication technologique et une adaptabilité alarmante.
Mesures de Protection Essentielles pour Eviter les Compromissions
Pour se prémunir contre de telles attaques, les entreprises doivent s’assurer que leurs dispositifs périphériques reçoivent régulièrement des mises à jour de sécurité et des correctifs.
La segmentation du réseau et la surveillance continue des activités anormales sont également cruciales.
De plus, la formation des employés sur les meilleures pratiques de cybersécurité et la simulation régulière de scénarios d’attaque peuvent aider à renforcer les défenses humaines contre le spear-phishing et autres vecteurs d’attaque potentiels.
Une stratégie de défense en profondeur sera essentielle pour minimiser les risques et l’impact potentiels de campagnes similaires à Velvet Ant.
