Log4J : la super faille de sécurité d’Internet serait utilisée dans une compagne d’espionnage
Dans un rapport récemment publié par la société de sécurité informatique Crowdstrike, les cybercriminels utiliseraient la faille de sécurité Log4Shell dans un contexte d’infiltration de système informatique.
Selon les spécialistes, l’institution viser sur est un établissement universitaire. Le groupe de cybercriminels indexés ici aurait été identifié comme étant d’origine chinoise. Il s’agirait d’une équipe connue sous l’appellation de « Aquatic Panda« . Selon Crowdstrike, il s’agirait d’un « groupe avec une double mission de collecte de renseignements et d’espionnage industriel qui opère depuis au moins mai 2020. ».
Cet article va aussi vous intéresser : Log4j : la super faille de sécurité qui met internet en danger
Pour le moment, l’objectif visé par le groupe n’a pas encore été déterminé par la société de cybersécurité. Cependant, il semblerait que ces pirates Informatiques ont l’intention de s’en prendre à certaines données de propriétés intellectuelles selon plusieurs actions qui auraient été observées venant de ce groupe.
« Les opérations d’Aquatic Panda se sont principalement concentrées sur les entités des secteurs des télécommunications, de la technologie et du gouvernement. Aquatic Panda s’appuie largement sur Cobalt Strike, et sa panoplie d’outils comprend un loader Cobalt Strike unique, connu sous le nom de FishMaster. Aquatic Panda a également été observé en train de livrer le logiciel malveillant njRAT à des cibles », souligne Crowdstrike.
La société de cybersécurité ajoute avoir découvert : « une activité suspecte provenant d’un processus Tomcat s’exécutant sous une instance VMWare Horizon vulnérable dans une grande institution universitaire, ce qui a conduit à l’interruption d’une intrusion active. ».
Lors de l’analyse des données de télémétrie est-ce que l’observation des activités du groupe de pirate informatique, la société de cybersécurité affirmant qui est fort probable que ces derniers et utiliser une version adaptée de la faille de sécurité Log4Shell. Ces derniers aura même utilisé un projet présent sur la plate-forme GitHub accessible à tous qui a été publié le 13 décembre 2018. Ce projet définissait l’exploit d’accéder à distance à VMWare Horizon.
« Aquatic Panda a poursuivi sa reconnaissance depuis l’hôte, en utilisant des binaires natifs du système d’exploitation pour comprendre les niveaux de privilèges actuels ainsi que les détails du système et du domaine. Les analystes d’OverWatch ont également observé une tentative de découverte et d’arrêt d’un service tiers de détection et de réponse sur les terminaux (EDR). OverWatch a continué à suivre le comportement malveillant de l’acteur malveillant, qui a téléchargé des scripts supplémentaires, puis a exécuté une commande codée en Base64 via PowerShell pour récupérer des logiciels malveillants dans sa boîte à outils », souligne Crowdstrike.
« Tout au long de l’intrusion, OverWatch a suivi de près l’activité de l’attaquant afin de fournir des mises à jour continues à l’organisation victime. Sur la base des renseignements exploitables fournis par OverWatch, l’organisation victime a été en mesure de mettre rapidement en œuvre son protocole de réponse aux incidents, ce qui a finalement permis de corriger l’application vulnérable et d’empêcher toute autre activité de l’attaquant sur l’hôte. », ajoute l’entreprise.
Évidemment ce n’est pas le premier groupe de hackers qui essaient d’exploiter la faille de sécurité. Plusieurs autres ont déjà commencé à développer des exploits. Même si pour l’heure, aucune autre alerte n’a été publiée. Cependant il faudrait s’attendre à des cyberattaques les mois à venir.
« En fin de compte, la viabilité de cet exploit est bien prouvée, avec une surface d’attaque substantielle toujours présente. Nous continuerons à voir des acteurs utiliser cette vulnérabilité jusqu’à ce que toutes les mesures d’atténuation recommandées soient mises en place », Signifie les chercheurs Crowdstrike.
Dans plusieurs pays tels que les Etats Unis, l’Australie et le Royaume Uni, les acteurs du secteur informatique sont mis en alerte face à l’exploitation de la faille de sécurité. Il est question ici de « l’exploitation active et mondiale par de nombreux acteurs malveillants de nombreux groupes en Corée du Nord, Iran, Turquie et en Chine ont été vus en train d’exploiter la vulnérabilité avec une série de ransomware. ».
Selon la directrice de l’agence américaine de sécurité informatique, Log4Shell est une menace très grave et permanente pour l’ensemble des organisations qu’elles soient gouvernementales au privées.
« Nous implorons toutes les entités de prendre des mesures immédiates pour mettre en œuvre les dernières directives afin de protéger leurs réseaux », a signifié cette dernière. « Ces vulnérabilités sont les plus graves que j’ai vues dans ma carrière, et il est impératif que nous travaillions ensemble pour assurer la sécurité de nos réseaux. ».
Accédez maintenant à un nombre illimité de mot de passe :