Principaux renseignements
- Le logiciel malveillant UNC5221 vole des informations sensibles aux entreprises occidentales en établissant des points d’accès secrets dans leurs réseaux.
- Le logiciel malveillant a été associé aux efforts d’espionnage de la Chine et cible la propriété intellectuelle et les secrets commerciaux d’entreprises occidentales d’importance stratégique.
- Le logiciel malveillant BRICKSTORM installe un point d’accès pratiquement invisible dans l’infrastructure informatique d’une entreprise, accordant aux attaquants un accès persistant et secret à des zones spécifiques ou à l’ensemble du réseau, en fonction des privilèges obtenus.
Une société européenne de cybersécurité, NVISO, a découvert une nouvelle variante du logiciel malveillant BRICKSTORM ciblant les systèmes Windows. Ce logiciel malveillant est lié au groupe d’espionnage chinois UNC5221 et vise à voler des informations sensibles aux entreprises occidentales en établissant des points d’accès secrets au sein de leurs réseaux.
Alors que Mandiant (une filiale de Google) avait déjà découvert BRICKSTORM sur des architectures Linux, l’équipe de réponse aux incidents de NVISO a fait la découverte révolutionnaire de sa présence sur les systèmes Windows. Dans un cas au moins, le logiciel malveillant était actif depuis plusieurs années sans être détecté.
Les efforts d’espionnage de la Chine
L’accent mis par la Chine sur les activités d’espionnage s’inscrit dans sa stratégie nationale de renforcement de la puissance économique. Les acteurs chinois avancés de la menace, comme UNC5221, ciblent spécifiquement la propriété intellectuelle et les secrets commerciaux d’entreprises occidentales d’importance stratégique.
L’UNC5221 utilise des techniques sophistiquées pour s’infiltrer discrètement dans les réseaux et passer inaperçu pendant de longues périodes. Il utilise une combinaison de vulnérabilités de type « zéro jour » et de « portes dérobées » telles que le logiciel malveillant BRICKSTORM. Ce logiciel malveillant installe un point d’accès pratiquement invisible dans l’infrastructure informatique d’une entreprise, ce qui permet aux attaquants d’avoir un accès persistant et secret à des zones spécifiques, voire à l’ensemble du réseau en fonction des privilèges obtenus.
La sophistication des méthodes d’attaque
En utilisant les structures informatiques existantes et les outils légitimes, ces attaquants se déplacent de manière presque invisible dans les réseaux d’entreprise, restant souvent inaperçus pendant de longues périodes. Cela leur permet d’accéder à des informations sensibles telles que des données de recherche, des développements de nouveaux produits, des plans d’affaires stratégiques et des renseignements militaires, qui sont ensuite exploités par l’État chinois à des fins commerciales ou militaires.
NVISO souligne les implications alarmantes de cette découverte. « Compte tenu de la méthodologie d’UNC5221, nous pensons que ce logiciel malveillant pourrait être plus répandu que ce que l’on sait actuellement », avertit Michel Coene, partenaire de l’équipe de réponse aux incidents de NVISO. Il souligne leur approche sophistiquée : pénétrer les systèmes par des vulnérabilités inconnues (zero-days), opérer discrètement et imiter les activités des équipes informatiques. Ils exploitent même des services cloud légitimes tels que Cloudflare et chiffrent les communications réseau pour rester cachés.
L’importance de la vigilance
La découverte de la présence de BRICKSTORM dans l’infrastructure Windows souligne son potentiel d’impact à grande échelle. NVISO a compilé un rapport détaillé pour aider les entreprises à détecter BRICKSTORM et à renforcer la sécurité de leur réseau, en particulier sur les systèmes Windows. NVISO invite toutes les organisations à prendre connaissance de ces informations dans les plus brefs délais.
Si vous souhaitez accéder à tous les articles, abonnez-vous ici!
