Détection des attaques APT soutenues par la Chine : Résister à la sophistication croissante et à la maturité des opérations offensives soutenues par l’État chinois selon la recherche du groupe Insikt de Recorded Future
Table des matières :
Au cours des cinq dernières années, les campagnes offensives soutenues par la nation chinoise ont évolué vers des menaces plus sophistiquées, furtives et bien coordonnées par rapport aux années précédentes. Cette transformation se caractérise par l’exploitation extensive des zero-days et des vulnérabilités connues dans les instances de sécurité et de réseau accessibles au public. De plus, il y a un accent plus marqué sur la sécurité opérationnelle, visant à réduire les signes d’intrusion, que les attaquants atteignent en exploitant un ensemble de techniques d’évasion de la détection des adversaires appuyées par LOLbins et des réseaux d’anonymisation. Le passage des opérations offensives soutenues par la nation chinoise vers une furtivité et une sécurité opérationnelle accrues a donné lieu à un paysage de menaces cybernétiques plus complexe et exigeant pour les organisations dans de multiples secteurs industriels, y compris le secteur public, et la communauté mondiale des cyber-défenseurs.
Cet article offre un aperçu de la manière dont la Chine est devenue la première puissance cybernétique à l’échelle mondiale basé sur le rapport dédié du groupe Insikt de Recorded Future and provides defenders with curated detection algorithms to proactively defend against escalating attacks by China-linked state-sponsored malicious actors.
Détection des attaques APT soutenues par la nation chinoise couvertes dans la recherche de Recorded Future
Au cours de la dernière décennie, les acteurs soutenus par l’État chinois ont opéré un changement significatif dans la sophistication de leurs tactiques, techniques et procédures offensives (TTP). Selon l’enquête du groupe Insikt, les hackers chinois tendent à être plus stratégiques et plus furtifs, s’appuyant sur des zero-days et des vulnérabilités connues dans les appareils accessibles au public. Ils exploitent également des réseaux anonymisés de grande envergure composés de dispositifs IoT compromis ou d’installations de serveurs privés virtuels accompagnés de familles open-source et d’exploits pour passer inaperçus et éviter l’identification. Notamment, des acteurs affiliés à la Chine sont observés à utiliser une intelligence partagée et une infrastructure offensive tout en échangeant continuellement des connaissances et des expériences.
Pour agir plus rapidement que les adversaires, les cyber-défenseurs doivent collaborer pour une meilleure évaluation des risques et une priorisation précise, ainsi qu’avec des stratégies de détection et d’atténuation pertinentes. Comptez sur la plateforme SOC Prime pour la défense cybernique collective afin d’obtenir un contenu de détection sélectionné abordant les TTP largement utilisés par les groupes étatiques chinois.
En outre, les professionnels de la sécurité peuvent parcourir la plateforme SOC Prime pour obtenir un ensemble de détections dédié visant à identifier les exploits zero-day exploités par des groupes soutenus par la Chine. Suivez simplement le lien ci-dessous et approfondissez une liste étendue de règles compatibles avec 28 technologies SIEM, EDR, XDR et Data Lake, mappées au cadre MITRE ATT&CK, et enrichies avec les CTI pertinents et les métadonnées.
Pour obtenir la liste complète des règles abordant les TTP décrits dans le rapport du groupe Insikt de Recorded Future, appuyez sur le bouton Explorer les détecteurs. Les professionnels de la sécurité peuvent obtenir une intelligence approfondie accompagnée de références ATT&CK et de liens CTI pour rationaliser l’enquête sur les menaces et améliorer la productivité du SOC.
Analyse de la transformation des attaques APT soutenues par l’État chinois basée sur la recherche du groupe Insikt
La Chine mène des campagnes malveillantes depuis des années, ciblant les organisations américaines et mondiales de divers secteurs pour recueillir des renseignements et des données sensibles, avec des attaques destructrices liées à des groupes APT soutenus par l’État comme Mustang Panda or APT41.
L’ampleur accrue des attaques liées à la Chine et leur sophistication croissante alimentent le besoin de renforcer la défense cybernétique collective pour résister aux forces offensives coordonnées. À la fin du printemps 2023, la NSA, la CISA, et le FBI, ainsi que d’autres autorités américaines et internationales, ont publié un avis conjoint sur la cybersécurité pour sensibiliser aux menaces croissantes attribuées à l’ APT soutenu par la nation chinoise connu sous le nom de Volt Typhoon et ciblant l’infrastructure critique américaine.
Les opérations cybernétiques soutenues par la nation chinoise sont principalement conduites par les divisions militaires, y compris la Force de soutien stratégique de l’Armée populaire de libération (PLASSF) et le Ministère de la Sécurité d’État (MSS). Au cours des cinq dernières années, les groupes APT chinois ont principalement visé les renseignements militaires et politiques, tout en orientant leur attention vers le soutien aux objectifs économiques et politiques stratégiques, et ciblant les menaces internes perçues, y compris les minorités ethniques et religieuses.
Les groupes de menaces soutenus par la Chine ont considérablement concentré leurs efforts sur l’exploitation des vulnérabilités des systèmes exposés au public depuis au moins 2021. Au cours de cette période, plus de 85 % des vulnérabilités zero-day exploitées par les groupes soutenus par l’État chinois ont été découvertes dans les systèmes exposés au public, y compris les pare-feux, les produits VPN d’entreprise, les hyperviseurs, les équilibreurs de charge et les produits de sécurité des e-mails. Parmi les vulnérabilités critiques exploitées par les groupes soupçonnés d’être soutenus par la Chine figurent CVE-2023-22515 dans Confluence Data Center et Server, un Zero-Day RCE dans Citrix NetScaler suivi sous CVE-2023-3519, et CVE-2022-42475, une vulnérabilité zero-day pernicieuse dans Fortinet FortiOS SSL-VPN. Compte tenu de la migration continue des organisations vers des environnements basés sur le cloud, il est probable que l’accent soit mis sur le ciblage de ces environnements dans un avenir proche.
En plus d’armement des zero-days et des vulnérabilités connues, les collectifs de piratage soutenus par l’État chinois adoptent massivement des réseaux d’anonymisation de grande échelle pour la reconnaissance, l’exploitation et l’infrastructure C2. Le passage à une activité plus sophistiquée et furtive des adversaires implique l’utilisation de familles de malwares open-source et d’exploits, ainsi que d’échantillons de malwares personnalisés adaptés aux logiciels exposés au public pour maintenir la persistance.
Comme mesures d’atténuation potentielles fournies par les chercheurs du groupe Insikt de Recorded Future , les organisations et les utilisateurs individuels sont recommandés de réduire leur exposition aux vulnérabilités en effectuant des mises à jour en temps opportun et en priorisant en continu les vulnérabilités critiques, spécifiquement, les failles de sécurité RCE dans les entités exposées au public. Suivre les meilleures pratiques de segmentation réseau, activer l’authentification multi-facteurs et maintenir constamment à jour avec les mises à jour et les directives sur l’atténuation des TTPs communément liés à l’activité APT soutenue par la Chine sont également essentiels pour les défenseurs pour minimiser les risques d’intrusions.
Au vu de l’augmentation de la sophistication des capacités adverses chinoises soutenues par le gouvernement du pays au cours des cinq dernières années, la Chine est très susceptible de renforcer sa position sur le front cybernétique en améliorant sa cyber-guerre et en élargissant la portée des attaques. Comptez sur SOC Prime et accédez à plus de 500 algorithmes de détection sélectionnés contre les attaques APT actuelles et émergentes de toute portée et échelle pour renforcer continuellement votre résilience cybernétique.
