Selon les chercheurs de Mandiant, certaines passerelles de messagerie ESG de Barracuda Networks déjà compromises restent vulnérables à une exposition continue, même si les utilisateurs ont été avertis de remplacer les appareils.
Dans un rapport publié cette semaine, la société affirme qu’un nombre limité de victimes précédemment touchées restent en danger en raison d’une campagne d’attaques menée par un groupe d’espionnage aligné sur la Chine qu’elle appelle UNC4841, exploitant une vulnérabilité d’injection de commande à distance (CVE – 2023-2868).
Les passerelles compromises qui contenaient des logiciels malveillants et une porte dérobée pour maintenir la persistance sont tellement affectées que Barracuda, l’agence américaine de cybersécurité et de sécurité des infrastructures et le FBI ont exhorté les administrateurs réseau à se débarrasser des appareils plutôt que de les corriger.
La campagne mondiale d’espionnage du gang a commencé il y a huit mois, indique le rapport. Les États-Unis et le Canada étaient les principales cibles, suivis par la Chine, l’Allemagne, les Pays-Bas, la Pologne, le Japon et le Vietnam.
Près d’un tiers des organisations concernées identifiées sont des agences gouvernementales. Le deuxième secteur en importance est celui des entreprises des secteurs de la haute technologie et des technologies de l’information.
Les organisations nord-américaines touchées comprenaient des bureaux d’État, de province, de comté, de tribu et de ville, y compris des services d’application de la loi, des tribunaux et des services sociaux, ainsi que plusieurs villes incorporées.
Mais les entreprises des secteurs des semi-conducteurs, de la santé publique, de l’aérospatiale, de l’intelligence artificielle/des véhicules autonomes et de la production de métaux de terres rares ont également été touchées.
Signe de la détermination de ce cybercriminel : après l’annonce de la vulnérabilité par Barracuda le 23 mai, il a déployé un nouveau maliciel. Mandiant appelle ces familles de maliciel Skipjack (une porte dérobée passive pour écouter les communications), DepthCharge (une porte dérobée appelée Submarine par l’agence américaine de cybersécurité et de sécurité des infrastructures), Foxglove (un lanceur de maliciel), Foxtrot (la charge utile qui l’accompagne qui, entre autres, peut capturer les frappes au clavier) et une version deux de SeaSpy (une porte dérobée passive). L’objectif était de maintenir une présence sur un petit sous-ensemble de cibles hautement prioritaires qu’il avait compromises soit avant la publication du correctif, soit peu de temps après les directives de correction de Barracuda.
Cependant, selon le rapport, depuis que Barracuda a publié un correctif pour les appareils ESG le 20 mai, Mandiant et Barracuda n’ont identifié aucune preuve d’une exploitation réussie du CVE-2023-2868 entraînant la compromission d’appareils ESG physiques ou virtuels nouvellement compromis.
Seulement cinq pour cent de tous les ESG installés ont été compromis. Aucun autre produit Barracuda, y compris les solutions de messagerie SaaS de Barracuda, n’a été impacté par cette vulnérabilité.
Mandiant pense que l’UNC4841 utilisait probablement le contenu des messages stockés dans le mstore, un emplacement de stockage temporaire sur les appareils ESG, pour récolter des informations d’identification. Mandiant a identifié à plusieurs reprises des informations d’identification en texte clair contenues dans le contenu des messages stockés sur l’ESG, que UNC4841 a ensuite utilisées pour accéder avec succès au compte via Outlook Web Access (OWA) dès la première tentative.
Dans plus d’un cas, indique le rapport, Mandiant a vu le pirate informatique utiliser OWA pour tenter de se connecter aux boîtes aux lettres des utilisateurs de l’organisation victime. Dans un cas, un nombre relativement faible de tentatives d’accès OWA infructueuses a entraîné le verrouillage d’un nombre limité de comptes. Dans les cas où UNC4841 a pu obtenir un accès non autorisé à un nombre limité de comptes, Mandiant n’a vu UNC4841 envoyer aucun courriel à partir du compte compromis.
Mandiant pense que l’attaquant tentait probablement de maintenir l’accès aux boîtes aux lettres des utilisateurs compromis pour collecter des informations à des fins d’espionnage après la mise à jour des appareils ESG.
En plus des tentatives de déplacement latéral vers Active Directory et OWA, Mandiant a également constaté des tentatives de l’UNC4841 de se déplacer latéralement via SSH vers des VPN, des serveurs mandataires et d’autres appareils de périphérie sur le réseau des victimes.
Parfois, l’attaquant peut créer des comptes sur les appareils ESG comme autre forme d’accès à distance. L’acteur générerait alors un processus démon SSH pour écouter sur un port élevé spécifique et autoriser la connexion à partir de ce compte utilisateur nouvellement créé comme un autre moyen de maintenir l’accès par porte dérobée aux appareils compromis.
Mandiant pense que l’UNC4841 continuera à cibler les appareils de périphérie.
Adaptation et traduction française par Renaud Larue-Langlois.