La firme américaine de cybersécurité FireEye a détecté une vague d'espionnage en ligne menée par le groupe de piratage chinois APT41.
Le pic d'activité d'APT41 a commencé fin janvier et a duré jusqu'à la mi-mars, période au cours de laquelle le groupe a ciblé 75 organisations de différents secteurs, notamment les télécommunications, les soins de santé, le gouvernement, la défense, les finances, la pétrochimie, la fabrication et les transports. Le groupe ciblait également des organisations à but non lucratif, juridiques, immobilières, de voyage, d'éducation et des médias.
«Cette activité est l'une des campagnes les plus répandues que nous ayons vues de la part des acteurs de l'espionnage Chine-Nexus ces dernières années. Alors qu'APT41 a déjà mené des activités avec une entrée initiale étendue… cette analyse et cette exploitation se sont concentrées sur un sous-ensemble de nos clients et semblent révéler un rythme opérationnel élevé et de vastes exigences de collecte pour APT41. »
Sommaire
Tirer parti des vulnérabilités récemment révélées
APT41 a utilisé des vulnérabilités connues dans Application Delivery Controller (ADC) de Citrix, les routeurs de Cisco et Zoho ManageEngine Desktop Central pour lancer leurs attaques contre les organisations ciblées.
La vulnérabilité Citrix a été rendue publique un mois avant le début de la campagne du groupe, tandis qu'une vulnérabilité d'exécution de code à distance de zéro jour dans Zoho ManageEngine Desktop Central a été révélée trois jours seulement avant que le groupe ne tire parti de la faille de sécurité. Bien que FireEye ne possède pas de copie des logiciels malveillants utilisés contre les routeurs Cisco, la société estime qu'APT41 a conçu son propre logiciel malveillant personnalisé pour lancer des attaques contre eux.
FireEye a d'abord donné un nom au groupe de piratage chinois l'année dernière, mais APT41 mène depuis quelque temps un espionnage parrainé par l'État.
Dans une déclaration à CyberScoop, FireEye a expliqué que le motif derrière la dernière campagne d'APT41 est inconnu, mais il existe de multiples explications pour lesquelles il a lancé des cyberattaques sur 75 organisations dans une variété d'industries, en disant:
«Sur la base de notre visibilité actuelle, il est difficile d'attribuer un motif ou une intention à l'activité d'APT41. Il y a plusieurs explications possibles à l'augmentation de l'activité, y compris la guerre commerciale entre les États-Unis et la Chine ainsi que la pandémie COVID-19 poussant la Chine à vouloir des renseignements sur une variété de sujets, notamment le commerce, les voyages, les communications, la fabrication, la recherche et l'international. rapports."
Via CyberScoop