Des cyberattaques chinoises contre des agents secrets américains

Des pirates informatiques ont exploité une vulnérabilité zero-day dans Versa Director, un logiciel largement utilisé par les FAI pour sécuriser les opérations réseau, compromettant plusieurs sociétés Internet aux États-Unis et à l'étranger, selon Black Lotus Labs, la division de recherche sur les menaces de Lumen Technologies.

Lumen soupçonne que les attaques pourraient provenir de Chine.

Cet administrateur est tellement compromis, la question est de savoir si les comptes ont été piratés ou si les Chinois ont eu accès par des initiés ?)

Des pirates informatiques chinois s'introduisent dans les comptes du gouvernement et de l'armée américains https://t.co/bbL3zRKMdi

— Pog (@OSINT220) 27 août 2024

Lumen a noté :

« Sur la base de tactiques et de techniques connues et observées, Black Lotus Labs attribue avec une confiance modérée l'exploitation zero-day de CVE-2024-39717 et l'utilisation opérationnelle du shell Web VersaMem aux acteurs de la menace parrainés par l'État chinois connus sous le nom de Volt Typhoon et Bronze Silhouette. »

Les chercheurs de Lumen ont identifié quatre victimes américaines et une victime étrangère, les cibles comprenant apparemment du personnel gouvernemental et militaire travaillant sous couverture, ainsi que d'autres groupes présentant un intérêt stratégique pour la Chine.

L'exploit reste actif contre les systèmes Versa Director non corrigés, préviennent les chercheurs.

Brandon Wales, ancien directeur exécutif de l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), a souligné la sophistication croissante des cyberattaques chinoises et a appelé à une augmentation des investissements dans la cybersécurité.

La CISA rapporte que des pirates informatiques chinois et d'autres ont infiltré des services publics et des systèmes critiques américains pendant près de 5 ans, en maintenant l'accès.

C'est alarmant et cela pourrait avoir des conséquences majeures. Il faut craindre qu'il implose à terme. pic.twitter.com/xLXqm3OeDj

— Dagnum P.I. (@Dagnum_PI) 27 août 2024

Il a exprimé :

« La Chine continue de cibler les infrastructures critiques des États-Unis. La révélation des efforts déployés par le Volt Typhoon a évidemment entraîné des changements de tactiques et de techniques commerciales, mais nous savons qu'elle continue chaque jour à tenter de compromettre les infrastructures critiques des États-Unis. »

Black Lotus Labs a souligné la gravité de la vulnérabilité et a exhorté les organisations utilisant Versa Director à passer à la version 22.1.4 ou ultérieure.

La Chine dément les allégations

La Chine a nié ces allégations, affirmant que « Volt Typhoon » est en réalité un groupe de cybercriminels utilisant des ransomwares qui se fait appeler « Dark Power » et n'est sponsorisé par aucun État ou région.

Ce démenti a été formulé par le porte-parole de l'ambassade, Liu Pengyu, et a été repris par Lin Jian, porte-parole du ministère chinois des Affaires étrangères, dans une communication adressée au Global Times le 15 avril.

Selon les résultats, Volt Typhoon a utilisé un shell Web spécialisé appelé « VersaMem » pour capturer les informations de connexion des utilisateurs.

Présentation du processus d'exploitation de Versa Director et de la fonctionnalité du shell Web VersaMem

VersaMem est un logiciel malveillant sophistiqué qui s'attache à différents processus et manipule le code Java des serveurs vulnérables.

Il fonctionne entièrement en mémoire, ce qui le rend particulièrement difficile à détecter.

Les serveurs Versa Director ciblés par un exploit

L'exploit ciblait spécifiquement les serveurs Versa Director, qui sont couramment utilisés par les fournisseurs d'accès Internet et de services gérés, ce qui en fait des cibles de choix pour les acteurs malveillants cherchant à pénétrer les systèmes de gestion de réseau d'entreprise.

Versa Networks a confirmé la vulnérabilité lundi, soulignant qu'elle avait été exploitée « dans au moins un cas connu ».

Selon Lumen, le shell Web VersaMem a été détecté pour la première fois sur VirusTotal le 7 juin, peu de temps avant l'exploitation initiale.

Capture d'écran de VirusTotal pour VersaTest.png (SHA256 : 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) montrant 0 détection

Le malware, compilé à l'aide d'Apache Maven, incluait des commentaires en caractères chinois dans le code et n'était toujours pas détecté par les logiciels antivirus à la mi-août.