Le centre australien de cybersécurité explique les techniques utilisées par les hackers

Le Centre australien de cybersécurité met en garde les citoyens contre les logiciels malveillants de type “crypto jacking”

Le Centre australien de cybersécurité a publié la semaine dernière un avis expliquant les tactiques, techniques et procédures (TTP) identifiées lors de l’enquête du Centre sur une cyber-campagne contre les réseaux australiens.

Il a déclaré que le gouvernement reconnaissait le ciblage cybernétique coordonné contre les institutions australiennes et travaillait actuellement à une réponse à ce problème. Le rapport de 48 pages souligne les différentes vulnérabilités exploitées par le “groupe d’acteurs étatiques” et met en garde le public australien contre les attaques de logiciels malveillants de crypto-jacking.

« Le gouvernement australien est actuellement conscient et réagit à un ciblage soutenu des gouvernements et des entreprises australiennes par un acteur étatique sophistiqué », indique le rapport.

Quatre vulnérabilités majeures ont été soulignées dans le rapport – l’utilisation de la vulnérabilité de l’exécution de code à distance dans les versions non patchées de l’interface utilisateur de Telerik, une vulnérabilité dans les services d’information Internet (IIS) de Microsoft, une vulnérabilité de SharePoint de 2019 et la vulnérabilité de Citrix de 2019.

Des cas de cyber-criminels utilisant des techniques de spear-phishing ont également été enregistrés.

« Une fois l’accès initial obtenu, l’acteur a utilisé un mélange d’outils open source et d’outils personnalisés pour persister sur le réseau de la victime et interagir avec lui. Bien que les outils soient placés sur le réseau, l’acteur migre vers des accès à distance légitimes en utilisant des identifiants volés », explique le rapport.

La vulnérabilité critique de l’interface utilisateur de Telerik, y compris CVE-2019-18935, est la même que celle qui a été récemment exploitée par le gang de malwares Blue Mockingbird pour infecter des milliers de systèmes avec XMRRig, un logiciel de minage de Monero. Bien que l’élaboration du rapport sur la vulnérabilité CVE-2019-18935 présente des similitudes avec le modus operandi de l’attaque Blue Mockingbird, elle ne peut être considérée comme une indication qu’un tel gang a participé aux attaques organisées.

Plus de dix groupes de hackers chinois ayant des liens présumés avec le gouvernement chinois ont dans leur arsenal le malware PlugX, l’un des malwares identifiés dans le rapport du gouvernement australien.

Les tensions diplomatiques croissantes entre les deux pays concernant l’enquête sur l’origine du Coronavirus ont conduit certains responsables australiens à suggérer que la Chine pourrait être derrière la cyber-attaque ciblée.

« Nous avons certains des meilleurs organismes au monde … qui travaillent sur ce dossier et cela signifie qu’ils mettent tous leurs efforts pour contrecarrer ces tentatives », a récemment déclaré le Premier ministre australien Scott Morrison.