Des acteurs présumés de la menace chinoise exploitent une vulnérabilité de FortiOS

Recherches Mandiant

Mandiant suit une campagne présumée de type China-nexus qui aurait exploité une vulnérabilité récemment annoncée dans le FortiOS SSL-VPN de Fortinet, CVE-2022-42475, en tant que vulnérabilité zero day.

Dans le cadre de son enquête, Mandiant a identifié un nouveau malware suivi sous le nom de “BOLDMOVE”. Les preuves suggèrent que l’exploitation a eu lieu dès octobre 2022 et les cibles identifiées comprennent une entité gouvernementale européenne et un fournisseur de services managés situé en Afrique. Mandiant a découvert une variante Windows de BOLDMOVE et une variante Linux, qui est spécifiquement conçue pour fonctionner sur les pares-feux FortiGate. Il s’agirait de la dernière opération en date de cyberespionnage chinois visant les appareils connectés et Mandiant prévoit que cette tactique continuera d’être le vecteur d’intrusion de choix pour les groupes chinois disposant de ressources importantes.

La Chine continue de se concentrer sur les dispositifs réseau

Cet incident confirme la tendance de la Chine à exploiter les dispositifs connectés, en particulier ceux qui sont utilisés à des fins de gestion de la sécurité (par exemple, les pares-feux, les dispositifs IPS/IDS, etc.) Ces dispositifs sont des cibles attrayantes pour de multiples raisons. Tout d’abord, ils sont accessibles par Internet et, si l’attaquant dispose d’un outil d’exploitation, il peut accéder à un réseau sans que la victime ne puisse le voir. Cela permet à l’attaquant de contrôler le moment de l’opération et peut diminuer les chances de détection.

Les exploits nécessaires à la compromission de ces dispositifs peuvent nécessiter des ressources considérables et sont donc le plus souvent utilisés dans le cadre d’opérations contre des cibles renforcées et hautement prioritaires, souvent dans les secteurs du gouvernement et de la défense. Avec BOLDMOVE, les attaquants ont non seulement développé un exploit, mais aussi un logiciel malveillant qui démontre une compréhension approfondie des systèmes, des services, de la journalisation et des formats propriétaires non documentés. Il est important de noter que bon nombre de ces types de dispositifs n’offrent pas de mécanisme simple permettant de visualiser les processus en cours d’exécution sur les systèmes d’exploitation du dispositif. Ces dispositifs sont généralement destinés à inspecter le trafic réseau, à la recherche d’anomalies et de signes de comportement malveillant, mais ils ne sont souvent pas intrinsèquement bien protégés eux-mêmes.

BOLDMOVE Backdoor

En décembre 2022, Mandiant a identifié le backdoor BOLDMOVE associé à l’exploitation de la vulnérabilité CVE-2022-49475 de FortiOS. BOLDMOVE est écrit en C et possède des variantes Windows et Linux, cette dernière étant destinée à s’exécuter sur les appareils Fortinet, car elle lit les données d’un fichier propriétaire de Fortinet.

Attribution

Mandiant évalue avec peu de confiance que cette opération a un lien avec la République Populaire de Chine. Les groupes ayant un lien avec la Chine ont historiquement montré un intérêt significatif pour le ciblage des dispositifs de mise en réseau et la manipulation du système d’exploitation ou du logiciel sous-jacent qui supporte ces dispositifs. En outre, le ciblage géographique et sectoriel est cohérent avec les opérations chinoises précédentes. Des indicateurs techniques limités indiquent que le logiciel malveillant a été compilé sur une machine située dans le fuseau horaire UTC+8, qui comprend l’Australie, la Chine, la Russie, Singapour et d’autres pays d’Asie de l’Est, et sur une machine configurée pour afficher des caractères chinois.

La certification sur l’hôte, utilisé par la variante Windows de BOLDMOVE pour fournir au C2 des informations sur l’hôte infecté, commence par la chaîne “gbk”. La certification comparable de la variante Linux commence par “utf-8”, ce qui indique que ce champ désigne le codage des caractères. Si l’on considère “gbk” dans ce contexte, il s’agit d’une extension d’un jeu de caractères chinois.

Outlook

Mandiant a produit des rapports détaillés sur le nombre croissant d’appareils gérés, connectés à Internet et ciblés par les acteurs de la menace chinoise. Cette dernière campagne pourrait être la continuation d’une pratique de longue date des acteurs du cyberespionnage de type Chine-nexus. Cette campagne et ce vecteur d’infection devraient également rappeler l’importance de se tenir au courant des mises à jour et des correctifs, pour les appareils tournés vers l’extérieur ou exposés à l’Internet. Cette campagne, et d’autres campagnes similaires, offrent aux défenseurs un regard unique sur les vulnérabilités et les lacunes auxquelles de nombreuses organisations sont constamment confrontées lorsque les services et les réseaux sont gérés à distance. Compte tenu de leur configuration, il est très difficile de mesurer la portée et l’étendue de l’activité malveillante qui résulte de l’exploitation des périphériques réseaux tournés vers Internet, car peu d’informations peuvent indiquer que ces périphériques sont compromis.

Il n’existe aucun mécanisme permettant de détecter les processus malveillants s’exécutant sur ces dispositifs, ni de télémétrie permettant de rechercher de manière proactive les images malveillantes déployées sur ces dispositifs après l’exploitation d’une vulnérabilité. Cela fait des périphériques réseau un angle mort pour les praticiens de la sécurité et permet aux attaquants de s’y cacher et de rester furtifs pendant de longues périodes, tout en les utilisant pour prendre pied dans un réseau ciblé.

À propos de Mandiant, Inc.

Depuis 2004, Mandiant® est un partenaire de confiance pour les organisations soucieuses de sécurité. Une sécurité efficace repose sur la bonne combinaison d’expertise, d’intelligence et de technologie adaptative, et la plateforme SaaS Mandiant Advantage met à l’échelle des décennies d’expérience de première ligne et de renseignements sur les menaces à la pointe de l’industrie pour offrir une gamme de solutions de cyberdéfense dynamiques. L’approche de Mandiant aide les organisations à développer des programmes de cybersécurité plus efficaces et efficients et leur donne confiance dans leur capacité à se défendre contre les cybermenaces et à y répondre.

Quitter la version mobile