Contexte général
En septembre 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a détecté une campagne d’intrusions visant de nombreuses entités françaises. Les secteurs touchés incluent l’administration, les télécommunications, les médias, les transports et la finance. L’attaque n’a pas été limitée à la France, mais s’est également étendue à d’autres pays européens, à l’Amérique du Sud et à l’Asie du Sud-Est. L’origine de la menace est attribuée à un groupe cybercriminel d’origine chinoise, nommé Houken par l’ANSSI et identifié comme UNC5174 par Google Mandiant. Ce groupe est également connu sous les noms Uteus ou Uetus. Leur objectif principal semble être l’espionnage, mais certains aspects de leurs opérations suggèrent également une finalité commerciale.
Vulnérabilités exploitées
Les attaquants ont ciblé spécifiquement les appliances Ivanti Cloud Service Appliance (CSA), un composant utilisé pour la gestion sécurisée des connexions VPN. Plusieurs failles zero-day ont été découvertes et utilisées par les pirates, notamment CVE-2024-8963, CVE-2024-9380 et CVE-2024-8190. Ces vulnérabilités ont permis une exécution de code à distance sans authentification. Une fois l’accès initial obtenu, les attaquants ont injecté des web shells PHP et modifié des scripts existants pour maintenir une présence persistante sur les systèmes compromis.
Chaîne d’infection et techniques utilisées
L’infection débute par l’exploitation des failles zero-day. Cela permet l’installation de fichiers PHP malveillants, dont certains sont inspirés d’outils comme Behinder et neo-reGeorg. Ensuite, un module noyau malveillant est installé, souvent identifié sous le nom sysinitd.ko, accompagné d’un script d’installation nommé install.sh. Ce module fonctionne comme un rootkit au niveau noyau, fournissant aux attaquants un accès complet avec les privilèges root. Il permet également d’établir des tunnels HTTP ou HTTPS, facilitant ainsi les mouvements latéraux à l’intérieur du réseau.
Après cette phase, plusieurs outils de post-exploitation sont déployés. GOREVERSE et SNOWLIGHT sont deux composants de tunneling utilisés pour maintenir des connexions discrètes. SNOWLIGHT, également connu sous le nom dnsloger, permet un contrôle distant via DNS. Le groupe utilise aussi un agent personnalisé appelé VShell, qui exploite les WebSockets pour maintenir une communication entre les systèmes compromis et leurs serveurs de commande et de contrôle. VShell est sophistiqué, capable de charger dynamiquement des modules et de manipuler des flux de données via JSON.
Organisation opérationnelle
L’attaque montre une séparation nette des rôles, ce qui suggère une opération structurée. D’un côté, certains acteurs se concentrent sur la découverte des vulnérabilités. Une autre équipe, probablement liée directement à UNC5174, assure la compromission initiale et le déploiement des charges utiles. Une troisième partie semble responsable de la post-exploitation, de la gestion des accès persistants, de l’exfiltration des données et éventuellement de la revente des accès. Cela indique une approche en plusieurs couches, avec une chaîne logistique cybercriminelle bien développée.
Objectifs et motivations
Le premier objectif identifié est l’espionnage, notamment par la collecte massive de courriels, comme observé lors d’une attaque contre un ministère des affaires étrangères en Amérique du Sud. Le groupe semble également motivé par des gains financiers. Plusieurs cas de cryptominage ont été observés sur des systèmes compromis. En outre, des accès persistants sont parfois revendus à d’autres groupes ou acteurs étatiques. Fait intéressant, les attaquants ont été vus en train de « patcher » les systèmes compromis eux-mêmes, empêchant ainsi d’autres groupes d’exploiter les mêmes vulnérabilités.
Cibles géographiques et sectorielles
En France, les cibles comprenaient des entités sensibles du secteur public et privé. À l’échelle internationale, des victimes ont été identifiées en Europe, en Amérique du Sud et en Asie. Dans cette dernière région, les secteurs de l’éducation, les ONG, les entités politiques et des infrastructures critiques ont été visés. Des attaques ont aussi été confirmées à Hong Kong, Macao et dans des pays limitrophes. L’ampleur de la campagne suggère une opération d’envergure, menée dans le cadre d’objectifs de surveillance et d’influence.
Réponses et recommandations
Face à cette menace, l’ANSSI recommande aux organisations utilisant des appliances Ivanti de procéder immédiatement aux mises à jour de sécurité disponibles. Il est également conseillé d’analyser les journaux systèmes pour détecter toute activité suspecte, en particulier la présence de web shells PHP ou de modules noyau non autorisés. Un audit des connexions réseau et des déplacements latéraux est essentiel, tout comme l’isolement des équipements exposés à Internet. Il est aussi fortement recommandé de mettre en place une surveillance réseau plus rigoureuse et de restreindre les communications entrantes vers les interfaces d’administration.
Les entreprises doivent adopter une approche de défense en profondeur, segmenter les réseaux, renforcer la gestion des accès et établir des procédures de réponse rapide en cas d’anomalie. La coopération avec les éditeurs de logiciels, notamment pour le déploiement accéléré des correctifs, est également cruciale.
Liens avec d'autres campagnes
UNC5174 n’en est pas à sa première campagne. Le groupe a précédemment exploité d’autres plateformes vulnérables telles que SAP NetWeaver, les solutions Palo Alto, ConnectWise ScreenConnect et F5 BIG-IP. Il a également déployé les mêmes outils (SNOWLIGHT, VShell, GOREVERSE) dans différents contextes, ce qui permet de les relier à des attaques menées dès 2023. Cette continuité d’opérations renforce l’hypothèse d’une structure organisée, dotée de moyens techniques importants et probablement soutenue par des intérêts étatiques.
En résumé
La campagne menée par Houken/UNC5174 illustre l’évolution des cybermenaces, marquées par une grande sophistication technique, l’exploitation rapide de vulnérabilités critiques, et une forte coordination entre différentes cellules opérationnelles. Le recours à des rootkits au niveau noyau, à des techniques de persistance avancées et à des outils de tunneling personnalisés démontre une capacité d’action rare, digne d’un groupe sponsorisé par un État. Il est crucial que les organisations exposées prennent conscience du risque encouru, renforcent leurs défenses et adoptent des mesures proactives pour faire face à ce type de menace.
Sources :
The Record - French cybersecurity agency confirms government affected by Ivanti hacks
The Hacker News - Chinese Hackers Exploit Ivanti CSA Zero-Days in Attacks on French Government, Telecoms.
Articles
Aucun commentaire:
Enregistrer un commentaire