Un botnet chinois sophistiqué cible les utilisateurs Microsoft Azure
Une nouvelle menace pour la sécurité cloud.
La cybersécurité mondiale fait face à une nouvelle menace majeure, des hackers, agissant pour le compte du gouvernement chinois, ont déployé un réseau de milliers d'appareils connectés pour mener des attaques sophistiquées contre les utilisateurs de Microsoft Azure. Cette campagne de piratage, d'une ampleur et d'une complexité remarquables, soulève de sérieuses inquiétudes dans la communauté de la sécurité informatique.
Un botnet particulièrement ingénieux
Le réseau malveillant, baptisé "Botnet-7777" par les chercheurs (et "CovertNetwork-1658" par Microsoft), a été identifié pour la première fois en octobre 2023. Ce qui le rend particulièrement intéressant, c'est sa composition: il est constitué principalement de routeurs TP-Link compromis, formant un réseau géographiquement dispersé qui, à son apogée, comptait plus de 16 000 appareils infectés. Son nom provient du port 7777 utilisé pour exposer son malware. Sa particularité réside dans sa méthode d'attaque, appelée "password spraying" (pulvérisation de mots de passe). Cette technique consiste à tenter de nombreuses connexions depuis différentes adresses IP, mais de manière particulièrement subtile. En limitant le nombre de tentatives par appareil, les attaquants parviennent à contourner la plupart des systèmes de détection traditionnels.
Des caractéristiques qui défient la détection
Plusieurs éléments rendent ce botnet particulièrement difficile à repérer:
L'utilisation d'adresses IP provenant d'appareils SOHO (Small Office/Home Office) compromis
Une rotation constante des adresses IP, avec des milliers d'adresses disponibles
Une durée de vie moyenne de 90 jours pour chaque nœud du réseau
Un processus de password spraying à faible volume, rendant inefficaces les systèmes de détection basés sur le nombre d'échecs de connexion
Des acteurs chinois bien identifiés
Microsoft a notamment identifié un groupe de menace nommé "Storm-0940" comme utilisateur actif de ce botnet. Ce groupe cible régulièrement des think tanks, des organisations gouvernementales, des ONG, des cabinets d'avocats, des industries de défense et diverses organisations en Amérique du Nord et en Europe. Une fois qu'un appareil est compromis, les attaquants suivent généralement un protocole bien établi: téléchargement d'un binaire Telnet depuis un serveur FTP distant, installation d'une porte dérobée "xlogin", création d'un shell de commande contrôlé sur le port TCP 7777 et la mise en place d'un serveur SOCKS5 sur le port TCP 11288. Bien que l'activité du botnet ait diminué ces derniers mois, Microsoft estime que ce n'est pas dû à un ralentissement des opérations. Au contraire, les acteurs malveillants semblent acquérir de nouvelles infrastructures avec des signatures modifiées, rendant leur détection encore plus complexe.
Un lien direct avec les attaques
L'analyse de Microsoft a révélé des cas où les identifiants compromis par le botnet étaient utilisés le jour même par le groupe Storm-0940, suggérant une collaboration étroite entre les opérateurs de celui-ci et ce groupe de menace. Une fois l'accès initial obtenu, les attaquants tentent de se déplacer latéralement dans le réseau, d'exfiltrer des données et d'installer des chevaux de Troie pour maintenir leur accès.
Comment se protéger ?
Bien que Microsoft ne fournisse pas de conseils spécifiques pour les utilisateurs de routeurs TP-Link, les experts en sécurité suggèrent quelques mesures préventives:
Redémarrer régulièrement les appareils, car le malware n’y survit généralement pas
Maintenir à jour le firmware des appareils
Surveiller les connexions suspectes sur les ports inhabituels
Mettre en place une authentification forte sur les comptes cloud
Cette campagne de piratage sophistiquée illustre l'évolution constante des menaces. Elle souligne l'importance d'une approche proactive de la sécurité, particulièrement pour les organisations utilisant des services cloud comme Microsoft Azure. La collaboration entre les acteurs de la cybersécurité et le partage d'informations restent essentiels pour maintenir une protection efficace.
Merci Romain, d'accord avec toi la gestion IAM des services Cloud doit être au cordo, j'ai trop vu de gestion des identités approximatives ou sans réelle surveillance pour dire que c'est souvent un maillon faible, avoir un CASB efficace aussi beaucoup d'éditeur offre des solutions performantes comme celle de Trellix ex McAfee SkyHIgh