“Les agences américaines en état d’alerte : une campagne de cyberespionnage liée à la Chine a été mise au jour”.

Reading Time: ( Word Count: )

July 13, 2023
Nextdoorsec-course

Au milieu du mois de juin 2023, une enquête non identifiée menée par l’agence Federal Civilian Executive Branch (FCEB) sur une activité inhabituelle de courrier électronique a abouti à la découverte d’une nouvelle campagne de cyberespionnage prétendument liée à la Chine et ciblant environ deux douzaines d’institutions. 

Ces informations sont issues d’un avertissement combiné de cybersécurité émis par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Bureau fédéral d’investigation (FBI) le 12 juillet 2023.

Dans leur annonce, les autorités a déclaré: “Un schéma anormal a été détecté dans l’environnement cloud Microsoft 365 (M365) d’une agence de la Federal Civilian Executive Branch (FCEB) en juin 2023. L’enquête ultérieure menée par Microsoft a révélé que des acteurs de menaces persistantes avancées (APT) avaient obtenu un accès non autorisé et téléchargé des données non classifiées à partir d’Exchange Online Outlook.”

Bien que l’entité gouvernementale impliquée n’ait pas été divulguée, CNN et le Washington Post ont suggéré qu’il s’agissait du département d’État américain, en se basant sur des sources ayant connaissance de la situation. D’autres cibles auraient été le département du commerce, le compte de courrier électronique d’un collaborateur du Congrès, un militant américain des droits de l’homme et des groupes de réflexion américains. Le nombre d’organisations américaines touchées serait à un chiffre.

Lire aussi : “Le grand correctif de sécurité de Microsoft : Coup de projecteur sur six vulnérabilités de type “Zero-Day””.

Les agences américaines en alerte

Cette révélation fait suite à l’attribution par Microsoft de l’opération à une “cybermenace basée en Chine” nouvellement identifiée, Storm-0558, connue principalement pour cibler les agences gouvernementales d’Europe occidentale et pour le vol de données et l’espionnage. Les preuves accumulées indiquent que l’activité nuisible a commencé un mois avant la détection.

La Chine a nié avec véhémence toute implication dans la cyberattaque, qualifiant les États-Unis d'”empire du piratage et de cyber-voleur le plus important au monde”. Le gouvernement chinois a en outre exigé que les États-Unis clarifient leurs opérations de cyberattaque et cessent de diffuser de fausses informations pour distraire le public.

Le processus d’infiltration aurait impliqué la création par les cyberespions de jetons d’authentification contrefaits pour accéder aux comptes de messagerie des clients via Outlook Web Access dans Exchange Online (OWA) et Outlook.com. Ces faux jetons ont été produits à l’aide d’une clé de signature du consommateur du compte Microsoft (MSA) obtenue frauduleusement, bien que la méthode précise n’ait pas été divulguée.

Deux outils malveillants personnalisés, Bling et Cigril, auraient également été utilisés par Storm-0558 pour obtenir un accès non autorisé. Cigril est un cheval de Troie qui déchiffre les fichiers cryptés et les exécute directement à partir de la mémoire du système pour éviter d’être détecté.

La CISA a reconnu que l’agence FCEB avait réussi à détecter la violation en utilisant une journalisation améliorée dans Microsoft Purview Audit, précisément l’action d’audit de la boîte aux lettres MailItemsAccessed.

En outre, l’agence conseille vivement aux organisations d’activer la journalisation Purview Audit (Premium), d’activer Microsoft 365 Unified Audit Logging(UAL), et de garantir que les journaux sont accessibles aux opérateurs pour chasser de telles activités et les distinguer des opérations régulières au sein de l’environnement.

“Les entités sont invitées à identifier les anomalies et à se familiariser avec les modèles standard afin de distinguer le trafic anormal du trafic normal”, concluent la CISA et le FBI.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
How Often Should Penetration Testing Be Done

How Often Should Penetration Testing Be Done

Penetration testing is a crucial technique that involves simulating a cyberattack on networks, computer systems, ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *