Ce que nous savons du piratage des systèmes de la Marine par la Chine

«Microsoft évalue avec une confiance modérée que cette campagne de Typhoon Volt poursuit le développement de capacités qui pourraient perturber l’infrastructure de communication critique entre la région des États-Unis et de l’Asie lors des crises futures», a écrit Microsoft dans sa déclaration.

Les pirates d’État chinois infectaient des routeurs TP-Link avec un firmware personnalisé et malveillant

Les acteurs de l’ATP exploitent des routeurs à domicile / SOHO pour des attaques secrètes

Par Alfonso Maruccia 17 mai 2023, 13:02 9 Commentaires

TechSpot célèbre son 25e anniversaire. TechSpot signifie analyse technologique et conseils en qui vous pouvez faire confiance.

Qu’est-ce qui vient de se passer? Un groupe parrainé par chinois dirige une nouvelle cyberattaque sophistiquée contre des cibles européennes sensées, et les pirates couvrent effectivement leurs traces en abusant de routeurs infectés appartenant à des utilisateurs à domicile inconscients. Les routeurs sont principalement fabriqués par TP-Link, mais la menace pourrait se propager ailleurs.

Les chercheurs de point de contrôle ont découvert une autre menace persistante avancée (APT), qui est exploitée par un groupe parrainé par chinois identifié comme “Camaro Dragon.”L’attaque, qui chevauche principalement des activités malveillantes précédemment attribuées à l’équipage” Mustang Panda “, est conçue pour couvrir ses pistes derrière les routeurs TP-Link infectés par un composant de logiciel malveillant complexe.

Le groupe Camaro Dragon a ciblé les organisations et les individus liés aux affaires étrangères européennes, explique Check Point, avec “un chevauchement des infrastructures important” avec le groupe Mustang Panda. Au cours de leur enquête, les chercheurs ont découvert un implant de firmware malveillant conçu pour fonctionner sur des routeurs fabriqués par TP-Link, avec plusieurs composants comprenant une porte dérobée personnalisée nommée “Horse Shell.”

La porte dérobée a plusieurs fonctions principales, y compris un shell distant pour exécuter des commandes sur le périphérique infecté, le transfert de fichiers pour le téléchargement et le téléchargement et l’échange de données entre deux appareils infectés via le protocole SOCKS5. SOCKS5 peut être utilisé comme connexion TCP proxy à une adresse IP arbitraire, pour le transfert de paquets UDP, et finalement pour créer une chaîne d’appareils infectés pour masquer l’origine et la destination d’une connexion cryptée.

Grâce à ce firmware malveillant, Camaro Dragon Hackers peut efficacement masquer leur véritable centre de commandement et de contrôle en traitant les appareils à domicile infectés comme un moyen pour un objectif. Le point de contrôle indique que si Horse Shell a été trouvé sur l’infrastructure attaquante, les véritables victimes de l’implant de routeur sont encore inconnues.

Les chercheurs ne savent même pas comment les attaquants ont réussi à infecter les routeurs par le firmware malveillant, bien qu’ils aient probablement numérisé l’internet pour les vulnérabilités connues ou les informations d’identification de connexion faible / par défaut. En outre, bien qu’ils soient conçus pour attaquer les routeurs TP-Link, les composants ont une nature “agnostique” et pourraient très bien être réutilisés pour attaquer une gamme plus large d’appareils et de fabricants.

La recherche sur le point de contrôle indique que la découverte de l’implant de Camaro Dragon pour les routeurs TP-Link souligne l’importance de prendre des mesures de protection contre des attaques similaires. La société de sécurité a quelques recommandations pour détecter et protéger contre les installations malveillantes du micrologiciel, notamment en installant régulièrement des mises à jour logicielles pour les routeurs Home / SOHO, en modifiant les informations d’identification par défaut de tout appareil connecté à Internet, et en utilisant des mots de passe plus forts et une authentification multi-facteurs chaque fois que possible.

Ce que nous savons du piratage des systèmes de la Marine par la Chine

Les pirates “poursuivaient le développement de capacités qui pourraient perturber les communications critiques entre les États-Unis et l’Asie” dans une crise.

Par Nicholas Slayton | Publié le 28 mai 2023 17:23 PM

Des pirates à dos chinois ont violé l’infrastructure américaine, y compris les systèmes technologiques appartenant à l’U.S. Navy, les représentants du gouvernement ont confirmé la semaine dernière.

La société de technologie Microsoft a rendu compte du piratage, identifiant le groupe et les techniques utilisées pour le réaliser. L’opération visait à accéder aux systèmes de communication aux États-Unis et U.S. Infrastructure de la marine sur Guam. L’île abrite plusieurs installations militaires, dont un grand contingent de bombardiers B-52 et U.S. Sous-marins de la marine.

En réponse, les États-Unis et les alliés ont publié un rapport sur la façon de détecter et de protéger contre de telles intrusions.

Abonnez-vous à la tâche et à l’objectif aujourd’hui. Obtenez quotidiennement les dernières nouvelles et culture militaires dans votre boîte de réception.

Qui est derrière?

Microsoft Corp. a d’abord signalé le piratage apparent le mercredi 24 mai. Il a identifié les auteurs avec une «confiance modérée» comme Volt Typhoon, un «acteur parrainé par l’État basé en Chine qui se concentre généralement sur l’espionnage et la collecte d’informations.”Le groupe est actif depuis au moins 2021.

Ce piratage spécifique a vu le typhon volt en utilisant des informations d’identification légitimes pour accéder aux systèmes, à entrer, puis à utiliser des routeurs à petit bureau pour déguiser d’où vient l’intrusion. Les experts en cybersécurité appellent cette approche «vivant de la terre.”Ils ont obtenu un accès initial en ciblant les appareils de cybersécurité Fortinet, en profitant d’une faille dans le système pour obtenir des informations d’identification.

Le gouvernement chinois a nié les allégations, les appelant une «campagne de désinformation collective» par les pays qui composent l’organisation de partage des cinq yeux, les États-Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande.

Ce qui a été affecté?

L’étendue complète du piratage n’est pas claire, mais l’infrastructure a ciblé «courir les secteurs des communications, de la fabrication, des services publics, des transports, de la construction, du gouvernement, du gouvernement, des technologies de l’information et de l’éducation», a déclaré Microsoft.

«Microsoft évalue avec une confiance modérée que cette campagne de Typhoon Volt poursuit le développement de capacités qui pourraient perturber l’infrastructure de communication critique entre la région des États-Unis et de l’Asie lors des crises futures», a écrit Microsoft dans sa déclaration.

Le secrétaire de la Marine Carlos del Toro a déclaré à CNBC le jeudi 25 mai que la Marine “avait été touchée” par les pirates, mais n’a pas précisé quelles zones étaient ciblées ou ce qu’elle signifie pour la préparation opérationnelle de la Marine. Il a cependant dit qu’il n’était pas «surprenant» que la Chine ait lancé une telle cyberattaque.

Les actifs militaires de Guam et son emplacement dans le Pacifique en font une partie majeure du U.S. La stratégie des militaires dans la région, y compris les menaces potentielles de la Chine, à la fois au U.S. Et à Taïwan.

Ce n’est pas la première cyberattaque à dos chinois pour affecter le U.S. Marine. En 2018, les pirates ont eu accès à l’ordinateur d’un entrepreneur de la Marine, qui avait des fichiers sur des plans de guerre sous-marins, y compris de nouveaux missiles.

Qu’est-ce qui se fait?

Microsoft a déclaré qu’il avait contacté tous les groupes touchés par le piratage.

En réponse à la nouvelle, les agences de cybersécurité des Nations membres des cinq yeux ont publié un avis conjoint sur le pirat. Le nouveau rapport identifie plusieurs étapes que les gouvernements peuvent prendre pour empêcher les intrusions de style «vivre du terrain».

“Pendant des années, la Chine a mené des cyber-opérations agressives pour voler la propriété intellectuelle et les données sensibles des organisations du monde entier”, a déclaré Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency. «Le conseil d’aujourd’hui met en évidence l’utilisation continue par la Chine de moyens sophistiqués pour cibler l’infrastructure critique de notre pays, et cela donne aux défenseurs du réseau un aperçu important de la façon de détecter et d’atténuer cette activité malveillante.”

Le dernier sur la tâche et le but

• 7 acteurs hollywoodiens qui ont fait leles plus réalistes opérateurs de GWOTÀ l’écran
• Comment le refus du vaccin Covid-19 d’un Marine a conduit à113 jours dans le brick
• La Russie a perdu un missile hypersoniqueEssayer de détruire l’un des missiles patriotes de l’Ukraine
• AviationF-15 prend un bain accidenteldans le canal de drainage après un atterrissage bâclé
• Commandant du bataillon de Fort Cavazoslicencié pour faute