Des chercheurs en cybersécurité ont découvert un malware personnalisé, furtif et non documenté, appelé SockDetour. Ce pourriciel a ciblé les organismes chargés de la défense américaine. Il a notamment servi d’implant secondaire sur des hôtes Windows compromis.
Selon les renseignements américains, SockDetour est devenu une porte d’entrée de secours dans les serveurs compromis pour les terroristes. Cette nouvelle vague d’attaque a ciblé quatre entreprises de défense américaines, dixit l’unité 42, dont l’une aurait été infectée. Ce pourriciel ne requiert pas l’ouverture d’un port d’écoute pour établir un canal C2 distant. Il n’a pas non plus besoin de l’appel à un réseau externe.
Dans cet article :
Un logiciel furtif exploité par des hackeurs basés en Chine
D’après la défense américaine, le maliciel reste difficile à détecter. C’est qu’il n’a besoin ni de fichier ni de socket pour fonctionner sur les serveurs Windows infectés. D’ailleurs, l’utilisation du virus a duré plus de deux ans. Cependant, personne n’a jamais détecté.
Un groupe de pirates informatiques, connu sous le nom de TiltedTemple, a perpétré les attaques. Opérant depuis la Chine, ce groupe terroriste a joué un rôle clé dans l’exploitation de failles de Zoho Manage Engine, ADSelfService Plus et ServiceDesk Plus. L’année dernière, ces logiciels de gestion des mots de passe en libre-service leur ont servi de rampe de lancement à de nombreuses autres cyberattaques.
SockDetour cible les États-Unis depuis quelques années
Une comparaison des infrastructures d’attaque aurait permis d’établir la parentalité du logiciel espion SockDetour au groupe terroriste chinois TiltedTemple. En effet, l’un des serveurs de commande et de contrôle qui a permis au groupe terroriste de diffuser des virus informatiques a aussi hébergé le malware personnalisé qui ciblait les défenses américaines. C’était au cours des campagnes de l’année 2021. Par ailleurs, des utilitaires de nettoyage de disque dur et de nombreux shells web pour l’accès à distance ont utilisé les mêmes serveurs.
Depuis août 2021, ces attaques sont précédées par des intrusions au moyen des serveurs Zoho ManageEngine compromis. Zoho ManageEngine est un logiciel SAAS que les entreprises utilisent pour protéger leurs données. Après une analyse plus poussée des campagnes, les services de renseignements américains ont révélé que les cyberpirates avaient diffusé le malware SockDetour à partir d’un serveur FTP externe. Pour preuve, le serveur Windows d’un entrepreneur de la défense basé aux États-Unis en a été la victime le 27 juillet 2021.
