HomeNews* Un groupe de menace chinois a exploité des vulnérabilités zero-day dans les appareils Ivanti Cloud Services Appliance (CSA) pour cibler des secteurs critiques français.
La campagne a affecté les organisations gouvernementales, de télécommunications, de médias, de finances et de transports à partir de septembre 2024.
Les attaquants ont utilisé des méthodes avancées telles que des rootkits, des VPN commerciaux et des outils open-source pour un accès réseau persistant.
Les vulnérabilités exploitées incluent CVE-2024-8963, CVE-2024-9380 et CVE-2024-8190.
La campagne semble impliquer plusieurs acteurs malveillants, certains cherchant un gain financier et d'autres fournissant un accès à des groupes liés à l'État.
Les autorités françaises ont rapporté qu'un groupe de hackers basé en Chine a lancé une campagne d'attaque contre des secteurs majeurs en France, y compris le gouvernement, les télécommunications, les médias, la finance et le transport. La campagne a débuté en septembre 2024 et s'est concentrée sur l'exploitation de plusieurs failles de sécurité non corrigées—connues sous le nom de zero-days—dans les appareils Ivanti Cloud Services Appliance (CSA).
Publicité - L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a déclaré que le groupe, identifié comme Houken, partage des connexions avec le groupe de menaces UNC5174, également appelé Uteus ou Uetus, suivi par Google Mandiant. Selon ANSSI, les attaquants ont combiné l'utilisation de vulnérabilités logicielles inconnues, un rootkit dissimulé ( un outil qui cache la présence de l'attaquant), et une série de programmes open-source principalement développés par des programmeurs francophones.
L'ANSSI a rapporté : « L'infrastructure d'attaque de Houken est composée de divers éléments, y compris des VPN commerciaux et des serveurs dédiés. » HarfangLab, une entreprise française de cybersécurité, a décrit une approche multipartite : une partie trouve des vulnérabilités logicielles, un deuxième groupe les utilise pour accéder au réseau, et des tiers effectuent des attaques de suivi. Selon l'ANSSI, « Les opérateurs derrière les ensembles d'intrusion UNC5174 et Houken cherchent probablement principalement des accès initiaux précieux à vendre à un acteur lié à un État cherchant des renseignements précieux. »
Les attaquants ont ciblé trois vulnérabilités spécifiques d'Ivanti CSA—CVE-2024-8963, CVE-2024-9380 et CVE-2024-8190. Ils ont utilisé différentes méthodes pour voler des identifiants et maintenir l'accès au système, telles que l'installation de web shells PHP, la modification de scripts existants ou le déploiement d'un rootkit de module noyau. Des outils comme les web shells Behinder et NEO-reGeorg, le backdoor GOREVERSE et le proxy suo5 ont été observés en usage.
Les attaques impliquaient également un module du noyau Linux appelé "sysinitd.ko", qui permet aux attaquants de détourner tout le trafic entrant et d'exécuter des commandes avec des privilèges administratifs complets. Certains attaquants auraient apparemment corrigé les mêmes vulnérabilités après les avoir exploitées, probablement pour empêcher d'autres groupes d'utiliser les mêmes systèmes.
La campagne plus large a affecté des organisations à travers l'Asie du Sud-Est et les gouvernements occidentaux, les secteurs de l'éducation, les ONG et les médias. Dans certains cas, les attaquants ont utilisé l'accès pour le minage de cryptomonnaies. Les autorités françaises ont suggéré que les acteurs pourraient être un groupe privé vendant l'accès et des informations à diverses organisations liées à l'État tout en menant leurs propres opérations motivées par le profit.
Articles Précédents :
La sénatrice Lummis propose un projet de loi pour exonérer les taxes sur les cryptos inférieures à 300 $
La première banque d'Abou Dabi lancera la première obligation numérique du Moyen-Orient
0xProcessing : Les paiements en crypto sont 91 % plus sûrs que les systèmes par carte
OpenAI met en garde contre les tokens Robinhood dans un contexte de valorisation de 300 milliards de dollars
JD.com et Ant Group poussent pour un stablecoin en yuan afin de défier le dollar
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Des Hackers Chinois Exploitent des Zero-Days d'Ivanti CSA Dans une Grande Attaque en France
HomeNews* Un groupe de menace chinois a exploité des vulnérabilités zero-day dans les appareils Ivanti Cloud Services Appliance (CSA) pour cibler des secteurs critiques français.
L'ANSSI a rapporté : « L'infrastructure d'attaque de Houken est composée de divers éléments, y compris des VPN commerciaux et des serveurs dédiés. » HarfangLab, une entreprise française de cybersécurité, a décrit une approche multipartite : une partie trouve des vulnérabilités logicielles, un deuxième groupe les utilise pour accéder au réseau, et des tiers effectuent des attaques de suivi. Selon l'ANSSI, « Les opérateurs derrière les ensembles d'intrusion UNC5174 et Houken cherchent probablement principalement des accès initiaux précieux à vendre à un acteur lié à un État cherchant des renseignements précieux. »
Les attaquants ont ciblé trois vulnérabilités spécifiques d'Ivanti CSA—CVE-2024-8963, CVE-2024-9380 et CVE-2024-8190. Ils ont utilisé différentes méthodes pour voler des identifiants et maintenir l'accès au système, telles que l'installation de web shells PHP, la modification de scripts existants ou le déploiement d'un rootkit de module noyau. Des outils comme les web shells Behinder et NEO-reGeorg, le backdoor GOREVERSE et le proxy suo5 ont été observés en usage.
Les attaques impliquaient également un module du noyau Linux appelé "sysinitd.ko", qui permet aux attaquants de détourner tout le trafic entrant et d'exécuter des commandes avec des privilèges administratifs complets. Certains attaquants auraient apparemment corrigé les mêmes vulnérabilités après les avoir exploitées, probablement pour empêcher d'autres groupes d'utiliser les mêmes systèmes.
La campagne plus large a affecté des organisations à travers l'Asie du Sud-Est et les gouvernements occidentaux, les secteurs de l'éducation, les ONG et les médias. Dans certains cas, les attaquants ont utilisé l'accès pour le minage de cryptomonnaies. Les autorités françaises ont suggéré que les acteurs pourraient être un groupe privé vendant l'accès et des informations à diverses organisations liées à l'État tout en menant leurs propres opérations motivées par le profit.
Articles Précédents :