La société de cybersécurité américaine Mandiant a confirmé que des pirates chinois soupçonnés d'être soutenus par l'État sont à l'origine de l'exploitation d'une vulnérabilité zero-day dans les appliances Email Security Gateway (ESG) de Barracuda, qui a ciblé de manière disproportionnée des organisations gouvernementales et liées au gouvernement à l'échelle mondiale.
Selon un article de blog de Mandiant publié aujourd'hui, la campagne d'espionnage mondiale de l'acteur de la menace remonte à octobre 2022, les acteurs de la menace déposant des logiciels malveillants jusqu'alors inconnus sur les appliances compromises et volant des données sensibles.
Les plus grandes cibles de cette campagne ont été les États-Unis et le Canada, suivis par la Chine, l'Allemagne, les Pays-Bas, la Pologne, le Japon et le Vietnam. Près d'un tiers des appareils touchés par cette campagne appartenaient à des agences gouvernementales, suivies par des entreprises des secteurs de la haute technologie et de l'informatique.
“Notamment, parmi les organisations affectées identifiées en Amérique du Nord, il y avait de nombreux bureaux d'état, de province, de comté, de tribu, de ville et de village qui ont été ciblés dans cette campagne. Ces organisations comprenaient des bureaux municipaux, des bureaux d'application de la loi, des systèmes judiciaires de différents niveaux, des bureaux de services sociaux et plusieurs villes constituées en société”, a écrit Mandiant dans son billet de blog.
“Alors que le ciblage global des gouvernements locaux représente un peu moins de sept pour cent de toutes les organisations affectées identifiées, cette statistique passe à près de dix-sept pour cent si on la compare au seul ciblage basé aux États-Unis.”
Selon Mandiant, le groupe de menace Chinese-nexus (actuellement suivi sous le nom de UNC4841) avait une motivation d'espionnage, qui a profité d'une vulnérabilité zero-day, CVE-2023-2868, et a exploité des systèmes appartenant à des utilisateurs de haut niveau dans les secteurs du gouvernement (national), de la haute technologie et des technologies de l'information.
Mandiant appelle ces familles de logiciels malveillants : Skipjack (une porte dérobée passive permettant d'écouter les communications), DepthCharge (une porte dérobée passive suivie par la CISA sous le nom de SUBMARINE), Foxglove (un lanceur de logiciels malveillants écrit en C), Foxtrot (une porte dérobée écrite en C++ qui prend en charge des commandes telles que la capture de frappes, l'exécution de commandes shell, la création de shell inversé et le transfert de fichiers) et une version deux de SeaSpy (une porte dérobée passive).
L'existence de CVE-2023-2868 a été découverte pour la première fois par Barracuda le 19 mai 2023, l'entreprise publiant un correctif pour les appareils ESG le 20 mai 2023. Cependant, il a été déterminé plus tard que les correctifs étaient inefficaces, ce qui a incité Barracuda à demander aux utilisateurs d'ESG de jeter les appareils vulnérables et de chercher un remplacement.
Depuis que Barracuda a publié un correctif pour les appareils ESG le 20 mai 2023, Mandiant et Barracuda n'ont pas été en mesure de trouver la moindre preuve d'une exploitation réussie de CVE-2023-2868, se traduisant par des appareils ESG physiques ou virtuels nouvellement compromis.
Seuls 5 % des appareils ESG des appareils ESG dans le monde ont été compromis. Aucun autre produit Barracuda, y compris les solutions de messagerie SaaS de Barracuda, n'a été affecté par cette vulnérabilité.
Les enquêtes menées par Mandiant et Barracuda sur les appareils précédemment compromis ont confirmé que UNC4841 a déployé des logiciels malveillants nouveaux et inédits pour maintenir sa présence sur un petit sous-ensemble de cibles hautement prioritaires qu'il a compromises soit avant la publication du correctif, soit peu de temps après les conseils de remédiation de Barracuda.
Cela “suggère que malgré la couverture mondiale de cette opération, elle n'était pas opportuniste et que UNC4841 disposait d'une planification et d'un financement adéquats pour anticiper et se préparer à des éventualités qui pourraient potentiellement perturber leur accès aux réseaux cibles”, a ajouté Mandiant.
“Il est devenu clair que nous sommes aux prises avec un adversaire redoutable qui se targue de disposer de vastes ressources, d'un financement et des capacités techniques nécessaires pour mener à bien des campagnes d'espionnage mondiales à grande échelle. Les acteurs de l'espionnage chinois améliorent leurs opérations pour devenir plus furtifs, plus efficaces et plus percutants”, a déclaré Austin Larsen, consultant principal en réponse aux incidents chez Mandiant.
À l'heure où nous écrivons ces lignes, Mandiant évalue qu'un nombre limité de victimes précédemment affectées continuent à courir le risque d'une compromission potentielle de la part de groupes de piratage chinois présumés.
Mandiant et Barracuda ont notifié les clients impactés par cet incident. Les utilisateurs concernés sont priés de contacter l'assistance Barracuda et de remplacer l'appareil ESG compromis.
