Support technique
Documentation
Connexion
Nous contacter
Faille zero-day de Barracuda : Risques pour les gouvernements et l'armée
Wajahat Raja
14 septembre 2023 - L'équipe d'experts de TuxCare
Une organisation de piratage présumée ayant des liens avec la Chine a récemment exploité une vulnérabilité zero-day récemment découverte dans les dispositifs Email Security Gateway (ESG) de Barracuda Networks. Cette faille zero-day de Barracuda a des ramifications mondiales, affectant le gouvernement, l'armée, la défense, l'aérospatiale, l'industrie de haute technologie et les télécommunications. Entrons dans les détails de ce problème de cybersécurité et de ses impacts potentiels.
L'auteur mystérieux : UNC4841
Mandiant, une société réputée dans le domaine du renseignement sur les menaces, surveille activement le groupe de pirates informatiques chinois. groupe de pirates informatiques basé en Chine "UNC4841." Elle décrit cet acteur de la menace comme étant très adaptable et capable de changer de stratégie pour avoir un accès constant à ses cibles. UNC4841 a utilisé des logiciels malveillants créatifs pour pénétrer dans des organisations hautement prioritaires et a exploité la vulnérabilité zero-day dans les produits Barracuda.
C'est surprenant, les agences gouvernementales représentent environ un tiers des organisations exposées par ce piratage. Cela dit, les premières compromissions ont été découvertes sur des appareils en Chine continentale, ce qui met en lumière les origines possibles de l'attaque.
Faille "Zero Day" de Barracuda : Exploitation de CVE-2023-2868
Le mode de fonctionnement de cette menace de cybersécurité pour le gouvernement et l'armée est d'utiliser CVE-2023-2868 pour implanter des logiciels malveillants et effectuer des opérations de post-exploitation. L'attaque a conduit à la distribution de logiciels malveillants supplémentaires, tels que SUBMARINE (également connu sous le nom de DEPTHCHARGE), dans certains cas pour assurer la persistance malgré les efforts de correction.
La baisse d'activité observée autour du Nouvel An chinois, suivie de deux poussées, est un élément remarquable de cette campagne. La première première divulgation de la faille zero-day de Barracuda a eu lieu le 23 mai 2023à la suite de la notification publique de Barracuda, tandis que la seconde s'est produite au début du mois de juin 2023. Au cours de ce dernier pic, les attaquants ont tenté de conserver l'accès en distribuant d'autres familles de logiciels malveillants, notamment SKIPJACK, DEPTHCHARGE et FOXTROT / FOXGLOVE.
SKIPJACK est un implant passif qui surveille les en-têtes et les sujets des courriels, tandis que DEPTHCHARGE est intégré au démon Barracuda SMTP (BSMTP) et exécute des commandes cryptées. FOXTROT, quant à lui, est un implant C++ lancé via FOXGLOVE et destiné à des tâches telles que la capture du clavier, l'exécution de commandes shell, le transfert de fichiers et la configuration reverse shell.
Le déploiement rapide de DEPTHCHARGE à la suite de la mise à jour de sécurité et du correctif la mise à jour de sécurité et le correctif de Barracuda implique que l'UNC4841 dispose d'une planification minutieuse et d'énormes ressources. Cette opération semble tout sauf opportuniste et met en évidence la capacité de l'acteur de la menace à prévoir et à gérer les interruptions potentielles.
Impact de la vulnérabilité "zero day" sur les secteurs : Implication de la Chine
DEPTCHARGE infecté d'environ 2,64 % des des appareils compromis, affectant à la fois les gouvernements américains et étrangers, ainsi que les entreprises de haute technologie et de technologie de l'information. Bien qu'ils ne soient pas exclusifs aux ESG de Barracuda, FOXTROT et FOXGLOVE ont été utilisés de manière sélective pour cibler des organisations liées au gouvernement.
L'UNC4841 s'est révélée experte en matière de reconnaissance interne et de mobilité latérale dans des situations compromises. Il a notamment tenté d'accéder sans autorisation à des boîtes aux lettres au sein d'organisations utilisant Microsoft Outlook Web Access (OWA). d'accéder sans autorisation à des boîtes aux lettres au sein d'organisations utilisant Microsoft Outlook Web Access (OWA). Ils ont également créé des comptes avec des caractères aléatoires sur un sous-ensemble d'appareils concernés, offrant ainsi une autre voie d'accès à distance.
Les similitudes d'infrastructure avec un autre groupe étiqueté UNC2286 soulignent le lien entre UNC4841 et la Chine. L'UNC2286 est également lié aux projets d'espionnage chinois FamousSparrow et GhostEmperor. À la lumière de ce risque de sécurité Barracuda dans le secteur militairele FBI a conseillé aux clients concernés de remplacer leur équipement ESG dès que possible en raison des menaces en cours.
Conclusion
Enfin, Les actions de l'UNC4841 montrent que le domaine du cyber-espionnage est en constante évolution.. Leur agilité et leur capacité à cibler des domaines particuliers mettent en évidence la complexité des menaces modernes en matière de cybersécurité. Les organisations, en particulier celles des secteurs sensibles, doivent rester attentives et donner la priorité à des mesures de sécurité efficaces pour éviter les risques suivants les risques liés à la cybersécurité des infrastructures critiques.
Le monde numérique évolue, la protection des réseaux gouvernementaux contre les attaques de type "zero-day et lutter contre les vulnérabilités est devenu crucial. La prise en compte de ces préoccupations peut aider ces organisations à protéger leur propriété intellectuelle et à lutter contre les menaces émergentes.
Les sources de cet article comprennent des articles dans The Hacker News et Spiceworks.
