Une stratégie de cyberespionnage datant de plusieurs années vient d’être exposée, impliquant des hackers liés à la Chine et des dispositifs de legacy F5 BIG-IP en Asie de l’Est. Cette attaque prolongée, mise en lumière par la société de cybersécurité Sygnia, souligne le risque croissant d’incidents de sécurité affectant des informations financières et clientèles sensibles.
Identification et expertise de l’attaque par Sygnia
Le modus operandi de Velvet Ant
L’opération nommée Velvet Ant par Sygnia révèle une adaptation et une réponse rapides aux tentatives de remédiation par les cyberattaquants. Utilisant des appareils F5 BIG-IP obsolètes comme plateforme de commande et de contrôle internes, les hackers ont créé un environnement formidablement discret pour mener leurs opérations sans être détectés. Cette découverte alarmante a été partagée avec la communauté sécuritaire global par le biais d’un rapport technique.
Outils et techniques utilisés
La sophistication de l’attaque est accrue par l’utilisation du backdoor connu sous le nom de PlugX, utilisé ici pour réaliser un chargement latéral de DLL afin de s’infiltrer dans les systèmes ciblés. Sygnia note également que les attaquants ont tenté de désactiver les logiciels de sécurité des points de terminaison avant d’installer PlugX, s’appuyant sur des outils open-source tels qu’Impacket pour le mouvement latéral.
La réponse à l’incident et les efforts de remédiation
Double version de PlugX et communication des données
Une analyse approfondie a révélé que deux versions de PlugX étaient en opération dans le réseau infiltré. La première, configurée avec un serveur de commande et de contrôle externe, se concentrait sur l’exfiltration d’informations sensibles via des points de terminaison connectés directement à Internet. Une variante modifiée de PlugX a été découverte utilisant un serveur de fichier interne pour le contrôle des commandes, intégrant ainsi le trafic malveillant au sein de l’activité réseau légitime, rendant sa détection plus complexe.
Exploitation des équipements F5 BIG-IP
La persistance des attaquants était favorisée par l’utilisation d’équipements F5 BIG-IP non mis à jour, permettant des communications cachées avec le serveur de commande externe via un tunnel SSH inversé. Cette stratégie souligne une fois de plus l’importance cruciale de la sécurisation des appareils de bordure, souvent négligée.
L’analyse des dispositifs F5 piratés a permis de découvrir d’autres outils utilisés par les hackers, comme le poller PMCD, qui interrogeait le serveur de commande toutes les 60 minutes, ainsi que des utilitaires permettant la capture de paquets réseau et le tunneling SOCKS, connu sous le nom d’EarthWorm, déjà associé à des acteurs comme Gelsemium et Lucky Mouse.
Cet incident souligne l’importance des services de détection et de réponse aux incidents que notre entreprise CyberCare propose à ses clients pour protéger leurs systèmes contre des attaques sophistiquées et persistantes. Nos experts en cybersécurité sont spécialisés dans la neutralisation de menaces avancées, assurant la protection des actifs numériques essentiels.