La bourse est fermée

Des hackers déjouent la protection à double authentification

Fabrice Auclert, Journaliste
1 / 2

Des hackers déjouent la protection à double authentification

L’entreprise de cybersécurité hollandaise Fox-IT vient de retrouver la trace d’un groupe de hackers liés au gouvernement chinois, surnommé APT20. Le groupe, connu depuis 2011, avait semblé disparaître en 2016 lorsqu’il a changé de mode opératoire. Cependant, APT20 n’est pas resté inactif et Fox-IT a trouvé la trace de leurs activités ces dernières années, qui ont consisté à infiltrer de nombreux systèmes et même à contourner  l'authentification à deux facteurs. La firme a baptisé ces attaques « Opération Wacao ».

Le groupe a visé des entités gouvernementales et des Managed Service Providers (MSP) aussi appelés infogérance ou revendeurs de services, dans des domaines comme l’aviation, la construction, les jeux d’argent, la santé, la finance, l’assurance et bien d’autres. Ils ont infiltré les réseaux internes en compromettant un serveur web, et visaient notamment ceux utilisant JBoss, une plateforme d’applications. De là, ils ont pu attaquer directement d’autres appareils sur le réseau interne.

Une méthode d’intrusion très difficile à détecter

Le groupe a réussi à passer inaperçu en utilisant les outils déjà en place pour commander les appareils, plutôt que d’installer leurs propres programmes et malwares, évitant ainsi d’être détecté par les logiciels de sécurité. Ils ont pu ainsi récupérer de nombreux mots de passe, dont ceux des comptes administrateur et VPN. Cependant, au moins une des entreprises ciblées a détecté l’intrusion et fait appel à Fox-IT pour mener l’enquête.

Les intrus accédaient régulièrement aux systèmes via les failles découvertes, récupéraient des identifiants et mots de passe via les outils en place ou en installant des keyloggers, des scripts ou autres outils, puis une fois terminé, ils compressaient les données collectées dans un fichier RAR. Ils s’envoyaient le fichier RAR et effaçaient ensuite tous les outils utilisés pour éviter la détection. Le nom Wacao est un juron en chinois, et est apparu dans l’historique des commandes reçues après...

> Lire la suite sur Futura