2024-05-22 17:16:40
Mandiant Intelligence suit une tendance croissante parmi les opérations de cyberespionnage en Chine, où les acteurs de menaces persistantes avancées (APT) utilisent des réseaux proxy connus sous le nom de « réseaux ORB » (réseaux de boîtes de relais opérationnels) pour obtenir un avantage lors de la conduite d’opérations d’espionnage. Les réseaux ORB s’apparentent à des botnets et sont constitués de serveurs privés virtuels (VPS), ainsi que d’appareils Internet des objets (IoT), d’appareils intelligents et de routeurs compromis qui sont souvent en fin de vie ou non pris en charge par leurs fabricants. La création de réseaux d’appareils compromis permet aux administrateurs réseau ORB d’augmenter facilement la taille de leur réseau ORB avec peu d’effort et de créer un réseau maillé en constante évolution qui peut être utilisé pour dissimuler des opérations d’espionnage.
- En utilisant ces réseaux maillés pour mener des opérations d’espionnage, les acteurs peuvent dissimuler le trafic externe entre l’infrastructure de commande et de contrôle (C2) et les environnements victimes, y compris les appareils périphériques vulnérables qui sont exploités via des vulnérabilités Zero Day.
- Ces réseaux utilisent souvent des nœuds VPS loués en combinaison avec des logiciels malveillants conçus pour cibler les routeurs afin d’augmenter le nombre d’appareils capables de relayer le trafic au sein des réseaux compromis.
Mandiant estime avec une confiance modérée qu’il s’agit d’un effort visant à augmenter le coût de la défense du réseau d’une entreprise et à déplacer l’avantage vers les opérateurs d’espionnage en évitant la détection et en compliquant l’attribution. Mandiant estime que si les défenseurs des réseaux peuvent modifier le paradigme actuel de défense des entreprises en passant du traitement des infrastructures adverses comme des indicateurs de compromission (IOC) et plutôt au suivi des réseaux ORB comme des entités évolutives semblables aux groupes APT, les entreprises pourront faire face au défi croissant des réseaux ORB dans le paysage des menaces.
Même pour en savoir plus sur les réseaux ORBécoutez notre dernier podcast The Defender’s Advantage.
Extinction du CIO et essor des réseaux ORB
L’industrie de la cybersécurité a rendu compte de la pratique APT d’utilisation du réseau ORB dans le passé ainsi que de la mise en œuvre fonctionnelle de ces réseaux. Les implications de l’utilisation à grande échelle du réseau ORB par une multitude d’acteurs d’espionnage liés à la Chine, qui est devenue plus courante ces dernières années, sont moins discutées. Voici trois points clés et implications de changement de paradigme concernant les réseaux ORB qui obligent les défenseurs des réseaux d’entreprise à adapter leur façon de penser aux acteurs de l’espionnage liés à la Chine :
- Les réseaux ORB sapent l’idée d’une « infrastructure contrôlée par un acteur » : Les réseaux ORB sont des réseaux d’infrastructure administrés par des entités indépendantes, des entrepreneurs ou des administrateurs au sein de la République populaire de Chine (RPC). Ils ne sont pas contrôlés par un seul acteur APT. Les réseaux ORB créent une interface réseau, administrent un réseau de nœuds compromis et contractent l’accès à ces réseaux pour plusieurs acteurs APT qui utiliseront les réseaux ORB pour mener leurs propres espionnages et reconnaissances. Ces réseaux ne sont pas contrôlés par les acteurs APT qui les utilisent, mais sont plutôt utilisés temporairement par ces acteurs APT, souvent pour déployer des outils personnalisés plus conventionnellement attribuables à des adversaires connus du lien avec la Chine.
- L’infrastructure réseau ORB a une durée de vie courte et l’extinction des IOC s’accélère : Sur la base du suivi régulier des réseaux ORB par Mandiant, la durée de vie d’une adresse IPv4 associée à un nœud ORB peut durer seulement 31 jours dans un réseau ORB. Chaque réseau ORB a des pratiques différentes pour les infrastructures cyclables dans le cadre de son infrastructure de réseaux ORB. Cependant, un différenciateur concurrentiel parmi les entrepreneurs du réseau ORB en Chine semble être leur capacité à cycler mensuellement des pourcentages importants de leur infrastructure compromise ou louée. Par conséquent, le simple blocage de l’infrastructure observé en association avec le comportement du réseau ORB n’est pas aussi efficace que le blocage de l’infrastructure C2 l’aurait été entre 2005 et 2016. En conséquence, l’extinction des IOC s’accélère et la durée de conservation des indicateurs de réseau diminue.
- L’attribution des opérations d’espionnage ne peut pas reposer uniquement sur l’infrastructure réseau : Du point de vue du défenseur, l’adresse IP de sortie observée en relation avec une attaque APT est depuis des années un artefact clé utilisé pour rechercher l’attribution d’une intrusion. Dans le cas des attaques liées à la Chine, l’attribution devient de plus en plus difficile et moins spécifique. L’infrastructure ou le routeur compromis communiquant avec un environnement victime peut désormais être identifiable par un réseau ORB particulier, tandis que l’acteur utilisant ce réseau ORB pour mener l’attaque peut ne pas être clair et nécessiter une enquête sur les outils et tactiques complexes observés dans le cadre d’une attaque. intrusion. Ces réseaux permettent aux acteurs de sortir des appareils qui ont une proximité géographique avec les entreprises ciblées, ce qui permet au trafic de s’intégrer ou de ne pas être anormal lorsqu’il est examiné par des analystes ou du personnel opérationnel prenant des décisions d’accès basées sur les risques. Un tel exemple serait le trafic provenant d’un FAI résidentiel qui se trouve dans le même emplacement géographique que la cible et qui est régulièrement utilisé par les employés et serait moins susceptible d’être récupéré pour un examen manuel. La phase de militarisation de la cyber kill chain semble désormais être gérée par des fournisseurs tiers, ce qui complique l’attribution définitive des cyberattaques à l’aide d’indicateurs de réseau et augmente la difficulté de détection du trafic anormal.
L’anatomie d’un réseau ORB
Les réseaux ORB sont toujours constitués de nœuds d’infrastructure réseau. Ces nœuds peuvent être des routeurs compromis, des appareils VPS loués ou souvent un mélange des deux. Alors que les incarnations commerciales antérieures des réseaux ORB remontent à 2016, l’incarnation moderne de réseaux comme ORB1 / ORBWEAVER remonte à au moins 2020. Les nœuds d’un réseau ORB donné sont généralement répartis à travers le monde et ne sont pas géographiquement spécifiques à chaque réseau ORB. n’importe quel endroit. Les administrateurs de réseau ORB s’appuient sur les fournisseurs ASN dans différentes parties du monde pour réduire leur exposition ou leur dépendance à l’égard de l’infrastructure Internet d’un pays donné. Un exemple de distribution mondiale d’un réseau ORB peut être vu comme suit dans ce que Mandiant considère comme ORB3 ou SPACEHOP, un réseau très actif exploité par plusieurs acteurs menaçants liés à la Chine. Le volume élevé de trafic lié à l’APT via des nœuds distribués à l’échelle mondiale indique que ce réseau est utilisé pour cibler un large éventail de cibles géographiques colocalisées dans les zones géographiques des nœuds de sortie observés. Ce réseau maintient notamment un volume important de nœuds en Europe, au Moyen-Orient et aux États-Unis. Ces zones géographiques ont été observées comme cibles d’APT15 et UNC2630 (un groupe d’activités avec des liens suspectés avec APT5) et ont déjà été observées à l’aide de ce réseau. Ce réseau diversifie également ses nœuds en enregistrant les appareils basés sur VPS auprès de plusieurs fournisseurs de systèmes autonomes disponibles dans le commerce.
#Extinction #CIO #Les #acteurs #cyberespionnage #ChinaNexus #utilisent #les #réseaux #ORB #pour #augmenter #les #coûts #des #défenseurs
1716394689
