Microsoft met en garde contre une campagne d’espionnage basée en Chine visant Taiwan

Microsoft a découvert une campagne de cyberespionnage ciblant des organisations à Taiwan, attribuée à un groupe d’acteurs menaçants basé en Chine appelé Flax Typhoon. Selon l’entreprise, Flax Typhoon est actif depuis 2021, ciblant les agences gouvernementales et les entreprises des secteurs de l’éducation, de la fabrication, de l’informatique et d’autres secteurs.

La campagne exploite les vulnérabilités des serveurs Internet pour obtenir un premier accès aux réseaux cibles. Les attaquants utilisent des exploits pour déployer des shells Web, leur permettant d’exécuter à distance des commandes sur des systèmes compromis. Une fois à l’intérieur du réseau, Flax Typhoon utilise diverses techniques pour établir un accès persistant.

Une méthode clé consiste à compromettre les connexions de bureau à distance en « désactivant l’authentification au niveau du réseau et en détournant la fonctionnalité Sticky Keys ». Cela permet aux attaquants d’accéder aux systèmes à distance même après le redémarrage. Le groupe installe également un logiciel VPN pour créer un tunnel dans le réseau à des fins de contrôle.

Flax Typhoon cible la mémoire de processus LSASS (Local Security Authority Subsystem Service) et la ruche de registre Security Account Manager (SAM). Les deux magasins contiennent des mots de passe hachés pour les utilisateurs connectés au système local.

Flax Typhoon déploie fréquemment Mimikatz, un malware accessible au public qui peut automatiquement vider ces magasins lorsqu’ils ne sont pas correctement sécurisés. Les hachages de mots de passe qui en résultent peuvent être piratés hors ligne ou utilisés dans des attaques pass-the-hash (PtH) pour accéder à d’autres ressources sur le réseau compromis.

Après avoir établi la persistance, Flax Typhoon se concentre sur le vol d’informations d’identification. Le groupe énumère les points de restauration du système, susceptibles de comprendre le réseau compromis et de supprimer les traces de leur activité. Cependant, Microsoft affirme n’avoir pas observé les progrès des attaquants vers d’autres objectifs d’exfiltration de données.

Microsoft déclare avoir directement informé les clients ciblés et fourni des capacités de détection via Microsoft 365 Defender . Cependant, se défendre contre cette menace est un défi car le groupe s’appuie fortement sur des comptes valides et des outils légitimes.

La nouvelle intervient alors que le gouvernement américain enquête sur le rôle de Microsoft dans la violation du courrier électronique soutenue par la Chine . Un comité consultatif américain sur la cybersécurité étudie les risques potentiels liés au cloud computing, notamment le rôle de Microsoft dans cette violation.