Certains articles de veille peuvent faire l'objet de traduction automatique.
Microsoft l’a dit a pris le contrôle de serveurs qu’un groupe de piratage basé en Chine utilisait pour compromettre des cibles qui correspondent aux intérêts géopolitiques de ce pays.
Le groupe de piratage, que Microsoft a surnommé Nickel, est dans le collimateur de Microsoft depuis au moins 2016 et la société de logiciels suit la campagne de collecte de renseignements désormais interrompue depuis 2019. Les attaques contre les agences gouvernementales, les groupes de réflexion et les humains organisations de défense des droits aux États-Unis et dans 28 autres pays – étaient « très sophistiquées », a déclaré Microsoft, et utilisaient diverses techniques, notamment l’exploitation des vulnérabilités des logiciels que les cibles n’avaient pas encore corrigées.
En bas mais pas dehors
À la fin de la semaine dernière, Microsoft a demandé une ordonnance du tribunal pour saisir les sites Web que Nickel utilisait pour compromettre des cibles. Le tribunal de district américain du district oriental de Virginie a accueilli la requête et descellé l’ordonnance lundi. Avec le contrôle de l’infrastructure de Nickel, Microsoft va désormais « goupiller » le trafic, ce qui signifie qu’il est détourné des serveurs de Nickel et vers des serveurs exploités par Microsoft, ce qui peut neutraliser la menace et permettre à Microsoft d’obtenir des informations sur le fonctionnement du groupe et de ses logiciels.
« Prendre le contrôle des sites Web malveillants et rediriger le trafic de ces sites vers les serveurs sécurisés de Microsoft nous aidera à protéger les victimes existantes et futures tout en en apprenant davantage sur les activités de Nickel », a écrit Tom Burt, vice-président de la sécurité et de la confiance des clients de l’entreprise, dans un communiqué. article de blog. « Notre perturbation n’empêchera pas Nickel de poursuivre d’autres activités de piratage, mais nous pensons avoir supprimé un élément clé de l’infrastructure sur laquelle le groupe s’appuyait pour cette dernière vague d’attaques. »
Les organisations ciblées comprenaient celles des secteurs privé et public, y compris les entités diplomatiques et les ministères des Affaires étrangères d’Amérique du Nord, d’Amérique centrale, d’Amérique du Sud, des Caraïbes, d’Europe et d’Afrique. Souvent, il y avait une corrélation entre les cibles et les intérêts géopolitiques en Chine.
Les organisations ciblées étaient situées dans d’autres pays, notamment l’Argentine, la Barbade, la Bosnie-Herzégovine, le Brésil, la Bulgarie, le Chili, la Colombie, la Croatie, la République tchèque, la République dominicaine, l’Équateur, le Salvador, la France, le Guatemala, le Honduras, la Hongrie, l’Italie, la Jamaïque, le Mali , Mexique, Monténégro, Panama, Pérou, Portugal, Suisse, Trinité-et-Tobago, Royaume-Uni et Venezuela.
Les noms que d’autres chercheurs en sécurité utilisent pour Nickel incluent KE3CHANG, APT15, Vixen Panda, Royal APT et Playful Dragon.
Plus de 10 000 sites supprimés
L’action en justice de Microsoft la semaine dernière était la 24e action en justice intentée par la société contre des acteurs menaçants, dont cinq étaient parrainés par le pays. Les poursuites ont abouti au retrait de 10 000 sites Web malveillants utilisés par des pirates informatiques à motivation financière et de près de 600 sites utilisés par des pirates informatiques d’États-nations. Microsoft a également bloqué l’enregistrement de 600 000 sites que les pirates avaient prévu d’utiliser dans des attaques.
Dans ces poursuites, Microsoft a invoqué diverses lois fédérales, notamment le Computer Fraud and Abuse Act, l’Electronic Communications Privacy Act et la loi américaine sur les marques, comme moyen de saisir les noms de domaine utilisés pour les serveurs de commande et de contrôle. Des actions en justice ont conduit à la saisie en 2012 des infrastructures utilisées par le Kremlin soutenu Groupe de piratage Fancy Bear ainsi que des groupes d’attaque parrainés par la nation en Iran, en Chine et en Corée du Nord. Le fabricant de logiciels a également utilisé des poursuites pour perturber les botnets portant des noms comme Zeus, Nitol, ZéroAccès, Bamatal, et TrickBot.
Une action en justice engagée par Microsoft en 2014 a entraîné le retrait de plus d’un million de serveurs légitimes qui reposent sur No-IP.com, empêchant ainsi un grand nombre de personnes respectueuses de la loi d’accéder à des sites Web bénins. Microsoft était amèrement fustigé pour le déménagement.
VPN, informations d’identification volées et serveurs non corrigés
Dans certains cas, Nickel a piraté des cibles à l’aide de fournisseurs VPN tiers compromis ou d’informations d’identification volées obtenues par hameçonnage. Dans d’autres cas, le groupe a exploité des vulnérabilités corrigées par Microsoft, mais les victimes n’avaient pas encore installé sur les systèmes Exchange Server ou SharePoint sur site. Un séparé article de blog publié par le Threat Intelligence Center de Microsoft a expliqué :
MSTIC a observé des acteurs de NICKEL utilisant des exploits contre des systèmes non corrigés pour compromettre les services et les appareils d’accès à distance. Après une intrusion réussie, ils ont utilisé des dumpers ou des voleurs d’informations d’identification pour obtenir des informations d’identification légitimes, qu’ils ont utilisées pour accéder aux comptes des victimes. Les acteurs de NICKEL ont créé et déployé des logiciels malveillants personnalisés qui leur ont permis de maintenir la persistance sur les réseaux des victimes pendant de longues périodes. Le MSTIC a également observé que NICKEL procédait à une collecte et à une exfiltration de données fréquentes et planifiées à partir des réseaux victimes.
Poster un commentaire