Un groupe de piratage chinois a réussi à cibler avec succès les entités gouvernementales occidentales en contournant les protections d'authentification à deux facteurs.
Selon la société néerlandaise de cybersécurité, Fox-IT, les pirates ont pu rester non détectés dans les systèmes compromis précisément parce qu'ils ont pu exploiter les outils de sécurité existants déjà présents.
Sommaire
Logiciels exploités
Les réclamations ont été faites par Fox-IT après une enquête de deux ans sur les systèmes compromis, qu'ils ont publié dans un livre blanc dans lequel ils ont identifié les activités et les méthodes des pirates.
L'acteur clé a été identifié comme étant le groupe de piratage APT20, qui aurait travaillé sous l'autorité du gouvernement chinois pendant près de dix ans. Le groupe cible les agences gouvernementales et les Managed Service Providers (MSP) en exploitant les vulnérabilités des serveurs Web pour accéder aux réseaux.
À partir de là, ils peuvent installer des coquilles Web pour faciliter le déplacement à travers les réseaux informatiques, en se concentrant sur les plates-formes d'applications d'entreprise. Les pirates ont également ciblé les postes de travail des utilisateurs avec des privilèges d'administrateur, ainsi que des coffres-forts de mots de passe.
La conclusion la plus surprenante était que les protocoles d'authentification à deux facteurs (2FA) pouvaient être contournés dans les systèmes vulnérables, les pirates pouvant générer leurs propres jetons logiciels pour l'accès aux logiciels exploités.
Fox-IT signale que le moyen le plus simple de se défendre contre de telles attaques est l'utilisation robuste de la segmentation, ainsi que l'exploitation de l'environnement administratif de sécurité renforcée (ESAE) de Microsoft pour une plus grande sécurité.
