Des pirates qui sont soupçonnés d’être soutenus par le gouvernement chinois utilisent les vulnérabilités du VPN Pulse Secure pour s’intégrer au sein des serveurs gouvernementaux. Ils infiltrent des entreprises notamment liées à l’industrie de la défense américaine. En savoir plus à travers cet article.
La faille zero day
Depuis maintenant 6 mois, c’est une défense d’intrusion qui touche les serveurs des organisations financières, gouvernementales ou encore liées à la défense mondiale. Cette série d'intrusions a été remarquée par Mandiant, une société spécialisée dans la cybersécurité. La vague cible principalement les vulnérabilités du VPN Pulse Secure qui est massivement utilisé par des organisations ainsi que des entreprises. Les hackeurs ont exploité une faille zero day, ce qui veut dire qu’elle n’a jamais été identifiée.
Grâce à la faille, ils arrivent à contourner l’identification à deux facteurs pour s’infiltrer dans les serveurs des entreprises et organisations ciblées. À compter du mercredi 21 avril 2021, ils peuvent installer leurs charges utiles qui resteront actives tout en permettant de conserver le contrôle à distance sur les serveurs malgré les mises à jour de sécurité du VPN. Cette faille dont on a attribué le nom de CVE-2021-22893 a été exploitée par plusieurs groupes de pirates, selon Mandiant. Au total, 12 familles de malwares gravitent autour de ces failles liées au VPN Pulse Secure.
Des groupes de pirates liés au gouvernement chinois
Au sein de ces acteurs d’attaques, Mandiant affirme avoir découvert des preuves reliant l’un des groupes de hackers au gouvernement chinois. Cette nouvelle équipe surnommée UNC2636 jusqu’alors inconnue semble avoir des liens avec un groupe de pirates chinois qui opèrent depuis 2007. Les pirates sont identifiés sous le nom de APT5. Le groupe est connu à travers ses liens avec le gouvernement chinois. Une autre équipe pourrait aussi être issue d’APT5. Elle est baptisée UNC2717.
La faille zero day bénéficie d’un correctif que la maison-mère de Pulse Secure, vient de publier. C’est un patch que l’agence de la cybersécurité américaine (Cisa) incite à appliquer dans l’immédiat. Mandiant note également que, surpassant cette vulnérabilité, les pirates utilisent toujours des failles déjà identifiées et colmatées les deux dernières années.