Les passerelles de messagerie Barracuda dans des ministères des gouvernements américain et canadien ciblées

Selon les chercheurs de Mandiant, certaines passerelles de messagerie ESG de Barracuda Networks déjà compromises restent vulnérables à une exposition continue, même si les utilisateurs ont été avertis de remplacer les appareils.

Dans un rapport publié cette semaine, la société affirme qu’un nombre limité de victimes précédemment touchées restent en danger en raison d’une campagne d’attaques menée par un groupe d’espionnage aligné sur la Chine qu’elle appelle UNC4841, exploitant une vulnérabilité d’injection de commande à distance (CVE – 2023-2868).

Les passerelles compromises qui contenaient des logiciels malveillants et une porte dérobée pour maintenir la persistance sont tellement affectées que Barracuda, l’agence américaine de cybersécurité et de sécurité des infrastructures et le FBI ont exhorté les administrateurs réseau à se débarrasser des appareils plutôt que de les corriger.

La campagne mondiale d’espionnage du gang a commencé il y a huit mois, indique le rapport. Les États-Unis et le Canada étaient les principales cibles, suivis par la Chine, l’Allemagne, les Pays-Bas, la Pologne, le Japon et le Vietnam.

Près d’un tiers des organisations concernées identifiées sont des agences gouvernementales. Le deuxième secteur en importance est celui des entreprises des secteurs de la haute technologie et des technologies de l’information.

Les organisations nord-américaines touchées comprenaient des bureaux d’État, de province, de comté, de tribu et de ville, y compris des services d’application de la loi, des tribunaux et des services sociaux, ainsi que plusieurs villes incorporées.

Mais les entreprises des secteurs des semi-conducteurs, de la santé publique, de l’aérospatiale, de l’intelligence artificielle/des véhicules autonomes et de la production de métaux de terres rares ont également été touchées.

Signe de la détermination de ce cybercriminel : après l’annonce de la vulnérabilité par Barracuda le 23 mai, il a déployé un nouveau maliciel. Mandiant appelle ces familles de maliciel Skipjack (une porte dérobée passive pour écouter les communications), DepthCharge (une porte dérobée appelée Submarine par l’agence américaine de cybersécurité et de sécurité des infrastructures), Foxglove (un lanceur de maliciel), Foxtrot (la charge utile qui l’accompagne qui, entre autres, peut capturer les frappes au clavier) et une version deux de SeaSpy (une porte dérobée passive). L’objectif était de maintenir une présence sur un petit sous-ensemble de cibles hautement prioritaires qu’il avait compromises soit avant la publication du correctif, soit peu de temps après les directives de correction de Barracuda.

Cependant, selon le rapport, depuis que Barracuda a publié un correctif pour les appareils ESG le 20 mai, Mandiant et Barracuda n’ont identifié aucune preuve d’une exploitation réussie du CVE-2023-2868 entraînant la compromission d’appareils ESG physiques ou virtuels nouvellement compromis.

Seulement cinq pour cent de tous les ESG installés ont été compromis. Aucun autre produit Barracuda, y compris les solutions de messagerie SaaS de Barracuda, n’a été impacté par cette vulnérabilité.

Mandiant pense que l’UNC4841 utilisait probablement le contenu des messages stockés dans le mstore, un emplacement de stockage temporaire sur les appareils ESG, pour récolter des informations d’identification. Mandiant a identifié à plusieurs reprises des informations d’identification en texte clair contenues dans le contenu des messages stockés sur l’ESG, que UNC4841 a ensuite utilisées pour accéder avec succès au compte via Outlook Web Access (OWA) dès la première tentative.

Dans plus d’un cas, indique le rapport, Mandiant a vu le pirate informatique utiliser OWA pour tenter de se connecter aux boîtes aux lettres des utilisateurs de l’organisation victime. Dans un cas, un nombre relativement faible de tentatives d’accès OWA infructueuses a entraîné le verrouillage d’un nombre limité de comptes. Dans les cas où UNC4841 a pu obtenir un accès non autorisé à un nombre limité de comptes, Mandiant n’a vu UNC4841 envoyer aucun courriel à partir du compte compromis.

Mandiant pense que l’attaquant tentait probablement de maintenir l’accès aux boîtes aux lettres des utilisateurs compromis pour collecter des informations à des fins d’espionnage après la mise à jour des appareils ESG.

En plus des tentatives de déplacement latéral vers Active Directory et OWA, Mandiant a également constaté des tentatives de l’UNC4841 de se déplacer latéralement via SSH vers des VPN, des serveurs mandataires et d’autres appareils de périphérie sur le réseau des victimes.

Parfois, l’attaquant peut créer des comptes sur les appareils ESG comme autre forme d’accès à distance. L’acteur générerait alors un processus démon SSH pour écouter sur un port élevé spécifique et autoriser la connexion à partir de ce compte utilisateur nouvellement créé comme un autre moyen de maintenir l’accès par porte dérobée aux appareils compromis.

Mandiant pense que l’UNC4841 continuera à cibler les appareils de périphérie.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Une attaque DDoS derrière les problèmes de l’agence des services frontalières du Canada

L'Agence des services frontaliers du Canada est le dernier organisme fédéral à confirmer avoir été touché par une récente vague d'attaques par déni de service.

Le CCC lance une alerte après les attaques DDoS visant le gouvernement

Des attaques par déni de service distribué contre les sites Web des ministères fédéraux et de plusieurs provinces et territoires canadiens, dont l'Île-du-Prince-Édouard, le Yukon, la Saskatchewan et le Manitoba, ont incité l'agence fédérale de cybersécurité à émettre une alerte informatique.

Des sites Web météorologiques canadiens toujours en difficulté après l’attaque d’un fournisseur

Pelmorex Corp., la société mère de deux sites Web météorologiques canadiens, a toujours du mal à reprendre son plein service après qu'un fournisseur de logiciels non identifié ait été touché par une cyberattaque.

Les utilisateurs d’Apple sont avisés par des chercheurs de l’Université de Toronto de mettre à jour leurs appareils en raison d’un logiciel espion

La semaine dernière, le Citizen Lab de l'Université de Toronto a découvert une vulnérabilité « activement exploitée » dans les appareils iPhone pour diffuser le logiciel espion mercenaire Pegasus du gang NSO, sans aucune interaction de la victime.

Un nouveau maliciel russe pour Android cible des appareils militaires ukrainiens, selon un rapport

Le gang de cyberattaque russe Sandworm a créé une nouvelle boîte à outils pour compromettre les appareils Android, indique un rapport publié récemment par l’alliance de renseignement le Groupe des cinq, composée des agences de renseignement des États-Unis, du Canada, du Royaume-Uni, de l'Australie et de la Nouvelle-Zélande, qui l'utilise d'abord pour cibler les appareils Android utilisés par l’armée ukrainienne.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.