Deux inculpations fédérales à l'encontre d'un groupe de pirates informatiques parrainé par l'État chinois n'ont pas ralenti ses opérations malveillantes, reconnaît le gouvernement américain dans un avertissement invitant le secteur de la santé à faire preuve de vigilance à l'égard de cet acteur menaçant.
Un grand jury fédéral a rendu des actes d'accusation en 2019 et 2020 contre cinq ressortissants chinois accusés d'avoir piraté dans le cadre d’une organisation de cyberattaque surnommée APT41 et également connu sous les noms de Barium, Winnti, Wicked Panda et Wicked Spider.
On pense que les pirates sont en liberté, certainement en Chine, et il est peu probable qu'ils fassent l'objet d'une arrestation. Les États-Unis ont commencé à inculper publiquement des pirates informatiques chinois en 2014 dans le cadre d'une stratégie visant à faire pression sur Pékin en exposant les organisations et les individus à l'origine des « cyberthefts » (cybervols) commandités par les structures étatiques de l’Empire du Milieu, le bien nommé.
Une stratégie en forme de « pâtée impériale » ?
Cette stratégie avait semblé porter ses fruits lorsque le dirigeant chinois Xi Jinping s'était engagé, en septembre 2015, à mettre fin au cyberespionnage économique. L'utilité de cette stratégie a depuis fait l'objet de critiques croissantes, car il est apparu que le piratage d'État chinois a répondu à la promesse de Xi Jinping en devenant plus furtif plutôt qu'en cessant. « L'acte d'accusation n'a pas entravé les opérations d'APT41 qui ont progressé en 2021 », conclut le Health Sector Cybersecurity Coordination Center du Department of Health and Human Services dans une note d'information sur les menaces publiée jeudi. « Le vol de la propriété intellectuelle étrangère est l'un des principaux objectifs des groupes de cyberespionnage chinois parrainés par l'État, tels qu'APT41, car il contribue aux objectifs ambitieux de la Chine en matière de développement commercial et économique », explique Paul Prudhomme, ancien analyste des menaces du ministère de la Défense.
A votre bonne santé
APT41 a l'habitude de cibler le secteur de la santé, ainsi que les entreprises de haute technologie et de télécommunication. Selon la société de cybersécurité Mandiant, le groupe s'adonne à une activité secondaire à motivation financière, le piratage de l'industrie du jeu vidéo, où il a manipulé des crypto-monnaies et tenté de déployer des ransomwares. Plus tôt cette année, Mandiant a révélé que le groupe a compromis au moins six réseaux gouvernementaux d'États américains, dans certains cas via une application utilisée pour tracer les maladies du bétail.
Décryptage de la méthode
Selon HHS HC3, les tactiques, techniques, procédures et autres outils couramment utilisés par l'APT41 sont les suivants :
Le spear-phishing avec des pièces jointes malveillantes, des trous d'eau et des attaques de la chaîne d'approvisionnement pour obtenir un accès initial Utilisation d'une variété de logiciels malveillants publics et privés pour s'implanter ; Escalade des privilèges en exploitant des outils personnalisés pour obtenir des informations d'identification ; Reconnaissance interne en utilisant des informations d'identification compromises ; Déplacement latéral en utilisant le protocole de bureau à distance, des informations d'identification volées, l'ajout de groupes d'administrateurs et des utilitaires de forçage brutal ; Maintien d’une présence par l'utilisation de portes dérobées ; Création d’archive RAR pour l'exfiltration et la suppression des preuves.
Rien n’est simple
Si le secteur de la cybersécurité a toujours souligné l'importance de l'application de correctifs aux systèmes, « c'est particulièrement urgent compte tenu de l'agilité et de la persistance d'APT41 », déclare Ben Read, directeur de l'analyse du cyberespionnage chez Mandiant. « Nous avons vu des cas où APT41 réinfecte des systèmes après avoir été supprimé, et nous avons observé que ce groupe a commencé à exploiter la vulnérabilité Log4j deux jours seulement après que la vulnérabilité a été rendue publique », ajoute-t-il. « L'adoption rapide par APT41 de vulnérabilités exposées publiquement montre l'importance de l'application rapide de correctifs et autres patchs. »
« APT41 a constamment mis à jour ses techniques pour éviter la détection », ajoute-t-il. « Les organisations doivent faire preuve d'une agilité similaire, en se tenant au courant des dernières tactiques et en s'assurant qu'elles sont positionnées pour bloquer et détecter toute tentative d'intrusion ».Au vu des défauts de prise de conscience des dirigeants, des défauts de gouvernance, des silotages verticaux des acteurs, des organisations défaillantes, des manque de compétences et moyens dans la santé, on peut penser sans risque que nous ne sommes pas au bout du chemin ou alors qu’il s’agit d’un chemin de croix.
En conclusion, on se fait du souci pour le pékin moyen hospitalier en charge de la sécurité.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature