Table des matières
Un rapport récent de Mandiant révèle une infiltration inquiétante au sein de nombreuses entreprises américaines par des cyberespions présumés liés à la Chine. Au cœur de cette opération, le malware BRICKSTORM a permis aux attaquants de maintenir un accès secret pendant plus d’un an. Découvrez comment ces intrusions se sont déroulées et comment les entreprises peuvent se protéger.
Les 3 points clés à retenir
Les équipes de Mandiant ont découvert que les attaquants utilisaient principalement des vulnérabilités non corrigées pour s’infiltrer dans les systèmes. Ces failles, parfois connues sous le nom de zero-day, permettent un accès initial aux infrastructures des entreprises américaines ciblées. Une fois à l’intérieur, le malware BRICKSTORM est déployé pour installer une porte dérobée.
Ce malware sophistiqué est difficilement détectable par les systèmes de veille traditionnels, ce qui a permis aux intrus de maintenir un accès prolongé et furtif. Les entreprises de la tech, les fournisseurs de logiciels et les acteurs du secteur juridique ont été particulièrement visés.
Pour contrer cette menace, Mandiant propose un ensemble d’outils et de recommandations aux organisations. Parmi ces outils, un scanner gratuit et téléchargeable a été mis à disposition pour rechercher des signatures spécifiques de BRICKSTORM dans les systèmes Linux et BSD. Les experts de Mandiant encouragent les entreprises à utiliser ces outils sans délai pour minimiser les risques.
En parallèle, Mandiant recommande de corriger rapidement toutes les vulnérabilités connues et de renforcer la surveillance des systèmes critiques pour détecter toute activité suspecte.
Les intrusions sont attribuées au groupe UNC5221, soupçonné d’être lié à la Chine. Bien que l’identité exacte des commanditaires reste incertaine, Mandiant associe souvent ce groupe au cyberespionnage chinois, en particulier au groupe connu sous le nom de Silk Typhoon ou APT27. Cette campagne d’espionnage va au-delà des objectifs classiques, car elle pourrait faciliter le développement de nouvelles vulnérabilités et l’accès à des réseaux associés.
Google, tout en restant discret sur le nombre de victimes, avertit du renforcement des capacités de ce groupe. Les entreprises sont encouragées à être vigilantes et proactives dans la sécurisation de leurs systèmes.
Mandiant, fondée en 2004 par Kevin Mandia, est une société de cybersécurité reconnue pour ses analyses approfondies et sa réponse rapide aux incidents. En 2013, elle a été acquise par FireEye, ce qui a renforcé sa capacité à fournir des solutions complètes de sécurité informatique. Mandiant est réputée pour ses enquêtes sur les cybermenaces de grande envergure, notamment celles impliquant des acteurs étatiques.
La société a souvent joué un rôle clé dans l’identification des menaces émergentes et a contribué à sensibiliser les entreprises et les gouvernements aux dangers posés par les cyberattaques sophistiquées. Avec une expertise reconnue mondialement, Mandiant continue d’être à la pointe de la recherche et de l’innovation dans le domaine de la cybersécurité.