Les efforts de l’entreprise de cybersécurité Sophos pour identifier ses pirates payent. Plus d’un mois après le récit de sa traque de cinq ans pour débusquer les hackers cherchant à pirater ses pare-feux, la justice américaine vient de prendre le relais avec le dévoilement de l’acte d’accusation visant un mystérieux Chinois, un certain Guan Tianfeng.
Ce dernier, désormais visé par une récompense de 10 millions de dollars, est accusé d’avoir piraté de juillet 2018 à mai 2020 avec des complices des pare-feux de l’entreprise britannique pour voler des informations sensibles sur les terminaux visés. Avec un tableau de chasse particulièrement impressionnant: environ 81 000 pare-feux dans le monde, y compris un logiciel “utilisé par une agence des États-Unis”. On ignore si des organisations françaises ont été concernées.
Selon l’accusation, le suspect aurait mis au point un logiciel d’intrusion exploitant une redoutable zero-day, une vulnérabilité finalement découverte en 2020 (CVE 2020-12271). Cette faille par injection SQL permettait de faire main basse sur les noms d’utilisateur et les mots de passe hachés des administrateurs locaux de l’appareil, des administrateurs du portail et des comptes d’utilisateur utilisés pour l’accès à distance.
Déploiement d’un rançongiciel
Le malware se cachait notamment derrière des noms de domaine censés être contrôlés par Sophos, comme sophosfirewallupdate.com. En cas de tentative de suppression du logiciel malveillant, le programme était conçu pour se défendre en déployant le rançongiciel Ragnarok, sans doute une façon de brouiller les pistes.
La justice américaine pointe également le rôle trouble de l’employeur de Guan Tianfeng, Sichuan Silence Information Technology. Cette entreprise travaillerait notamment pour le ministère chinois de la Sécurité publique. A en croire le FBI américain, elle serait l’un des bras armé de l’espionnage chinois. Avec le développement d’une gamme de produits pouvant “être utilisés pour scanner et détecter des cibles de réseaux à l’étranger afin d’obtenir des informations de renseignement précieuses”.
Dans son enquête, Sophos rappelait avoir identifié une première attaque en décembre 2018 contre l’une de ses filiales basée en Inde. La complexité de l’attaque avait intrigué les experts de l’entreprise – ils avaient baptisé le rootkit utilisé, le cheval de Troie, CloudSnooper. Pour identifier les pirates, Sophos avait mis à jour ses pare-feu pour collecter davantage de données sur les appareils de ses clients, une façon de remonter la piste.
Attribution chinoise
Le jeu du chat et de la souris se poursuit depuis. L’entreprise a souligné en effet “un niveau d’engagement envers les activités malveillantes rarement vu au cours des près de quarante ans d’existence de Sophos”. Des pirates finalement rattachés par la firme de cybersécurité à des groupes de pirates parrainés par l’État chinois.
Comme l’avait rappelé cependant Sophos, ses pare-feux sont loin d’être les seuls à être ciblés. L’Anssi française avait d’ailleurs tiré la sonnette d’alarme cet automne au sujet des compromissions des équipements de sécurité, une cible de choix pour des attaquants.
Coïncidence du calendrier, l’entreprise Ivanti vient justement de signaler une nouvelle vulnérabilité critique dans Cloud Services Appliance, un dispositif permettant la mise en place des communications sécurisées. Évaluée au seuil de gravité maximum, c’est la sixième en quatre mois! A la connaissance de l’entreprise, la vulnérabilité n’aurait pas été exploitée. Pour le moment.