Des pirates soupçonnés d’être soutenus par le gouvernement chinois exploitent les vulnérabilités critiques du VPN Pulse Secure pour s’infiltrer dans les serveurs gouvernementaux et de grosses entreprises notamment liées à l’industrie de la défense aux États-Unis.

au sommaire

    Depuis six mois, c'est une déferlante d’intrusions qui touche les serveurs des organisations gouvernementales, financières ou encore liées à la défense du monde entier et plus particulièrement aux États-Unis. Remarquée par Mandiant, une société spécialisée dans la cybersécurité, cette vaguevague cible précisément les vulnérabilités du VPN Pulse Secure qui est massivement employé par ces organisations et entreprises. Ils ont exploité une faille zero day, c'est-à-dire qui n'avait jamais été identifiée, afin de contourner l'authentification à deux facteurs pour pénétrer dans les serveurs des entreprises et organismes ciblés. À partir de ce moment, ils peuvent installer leurs charges utiles qui resteront actives et permettront de conserver le contrôle à distance sur les serveurs malgré les mises à jour de sécurité du VPN. Selon Mandiant, cette faille baptisée CVE-2021-22893 a été exploitée par plusieurs groupes de pirates. En tout, douze familles de malwaresmalwares gravitent autour de ces failles liées au VPN Pulse Secure.

    Des groupes de hackers liés au gouvernement chinois

    Parmi les acteurs de ces attaques, Mandiant affirme avoir découvert des preuves qui relient l'un des groupes de hackers au gouvernement chinois. Surnommée UNC2630, cette nouvelle équipe jusqu'alors inconnue semble avoir des liens avec un groupe de pirates chinois opérant depuis 2007 et identifié sous le nom APT5. Il est connu pour ses liens avec le gouvernement chinois. Une autre équipe baptisée UNC2717 pourrait aussi être issue d'APT5.

    La fameuse faille zero-dayfaille zero-day bénéficie d'un correctif qu'Ivanti, la maison-mère de Pulse Secure, vient de publier. Un patch que l'agence de la cybersécurité américaine (Cisa) incite à appliquer immédiatement. Mais Mandiant note également que, outre cette vulnérabilité, les pirates exploitent toujours des failles déjà identifiées et colmatées les deux dernières années. Comme bien souvent, c'est l'absence des mises à jour chez les organisations et entreprises qui est la cause et à la source de ces intrusions.