Les autorités révèlent des cyber-tactiques avancées exploitant des outils tels que Windows Sandbox et Visual Studio Code, appelant à des mesures défensives immédiates.
L’Agence nationale de police japonaise (NPA) et le Centre national de préparation aux incidents et de stratégie pour la cybersécurité (NISC) ont dévoilé une campagne de cyberespionnage de longue date, « MirrorFace » (également connue sous le nom de Earth Kasha), prétendument liée à la Chine.
La campagne, opérationnelle depuis 2019, cible les organisations, entreprises et particuliers japonais, principalement pour exfiltrer des données sensibles liées à la sécurité nationale et aux technologies avancées.
« Il a été déterminé que la campagne d’attaque MirrorFace est une cyberattaque organisée soupçonnée d’être liée à la Chine, dont l’objectif principal est de voler des informations liées à la sécurité et à la technologie avancée du Japon », ont indiqué les agences dans un communiqué.
Les agences ont déclaré que cela avait été confirmé sur la base d’une « analyse des cibles, des méthodes et de l’infrastructure d’attaque des attaques ».
Les industries japonaises, notamment l’aérospatiale, les semi-conducteurs, l’industrie manufacturière, l’information et les communications, ainsi que les universitaires, ont été victimes de cette attaque.
Parmi les autres agences impliquées dans l’enquête figurent l’unité d’enquête spéciale sur les cyberattaques du bureau de police régional de Kanto, le département de police métropolitaine de Tokyo et d’autres services de police préfectoraux.
Cette révélation envoie un avertissement fort aux entreprises opérant dans des secteurs à enjeux élevés comme la technologie, l’industrie manufacturière et la défense, les obligeant à renforcer leurs stratégies de cybersécurité contre des menaces de plus en plus sophistiquées et ciblées.
Une campagne généralisée aux tactiques évolutives
Dans un briefing détaillé et des rapports techniques, les responsables japonais ont décrit le mode opératoire de MirrorFace, qui impliquait l’exploitation d’outils de pointe tels que Windows Sandbox de Microsoft et les tunnels de développement de Visual Studio Code.
Les attaquants ont déployé des logiciels malveillants, notamment des variantes LODEINFO et ANEL, pour infiltrer les systèmes, échapper à la détection et exfiltrer les données, ont indiqué les agences dans un document détaillant les méthodes d’exploitation.
Windows Sandbox a été exploité pour créer un environnement virtualisé dans lequel les logiciels malveillants pourraient s’exécuter sans être détectés. Les tâches étaient déclenchées via des commandes planifiées, permettant aux logiciels malveillants de fonctionner dans des environnements sandbox. Les traces d’attaque, y compris les configurations de dossiers partagés et les fichiers cryptés, ont été effacées lors de l’arrêt, ce qui rend les enquêtes médico-légales difficiles.
De la même manière, les attaquants ont utilisé les tunnels de développement de Visual Studio Code pour établir des connexions secrètes, contournant les défenses du réseau et contrôlant à distance les systèmes compromis. Les journaux d’événements et les commandes PowerShell dans les systèmes ciblés ont fourni des informations sur ces violations, ajoute le communiqué.
La campagne MirrorFace se distingue par son utilisation du spear phishing, des exploits Zero Day et des logiciels malveillants hautement secrets, tous méticuleusement conçus pour cibler les atouts technologiques et de sécurité nationale du Japon. Les experts estiment que ces techniques reflètent un effort calculé pour éviter la détection lors de l’extraction de données critiques.
« La campagne MirrorFace souligne la manière dont les groupes soutenus par l’État emploient des tactiques avancées telles que le spear phishing, les exploits Zero Day et les logiciels malveillants sophistiqués pour infiltrer des cibles de haute technologie et de sécurité nationale », a déclaré Arjun Chauhan, analyste principal chez Everest Group. « L’accent mis par la campagne sur les secteurs japonais de pointe de la recherche et de la défense met en évidence la nature évolutive de l’espionnage, qui est de plus en plus motivée par des intérêts stratégiques, économiques et géopolitiques. »
La société israélienne de cybersécurité Cybereason, qui suit les activités de MirrorFace sous le nom de Cockoo Spear, affirme que « l’acteur menaçant persiste furtivement sur le réseau de ses victimes depuis des années » et le relie au « groupe de cyberespionnage parrainé par l’État chinois APT10 ».
« Cuckoo Spear est lié à l’ensemble d’intrusion APT10 en raison des liens établis entre divers incidents des acteurs de la menace Earth Kasha et MirrorFace, y compris l’ancien arsenal d’APT10 (LODEINFO) et le nouvel arsenal », a cité Cybereason dans son rapport d’analyse des menaces.
Paysage des menaces d’entreprise
Le mode opératoire de MirrorFace se caractérise par des tactiques avancées, notamment le spear phishing, le déploiement de charges utiles malveillantes telles que LODEINFO v8.0 et l’exploitation d’une infrastructure localisée personnalisée à des fins d’évasion.
La campagne a affiné sa capacité à compromettre des actifs de grande valeur, tels que la propriété intellectuelle dans la recherche de pointe et les technologies exclusives cruciales pour les industries stratégiques du Japon.
Le Japon étant une plaque tournante mondiale de l’innovation, les entreprises sont confrontées à des risques accrus. Les attaquants exploitent des techniques sophistiquées d’ingénierie sociale pour infiltrer les réseaux d’entreprise, menaçant ainsi la propriété intellectuelle et les résultats financiers. Pour les entreprises multinationales, ces incidents rappellent brutalement la nécessité d’évaluer et de renforcer les postures de cybersécurité transfrontalières.
Implications plus larges pour le secteur des entreprises
La campagne MirrorFace pose des défis importants aux entreprises qui dépendent de chaînes d’approvisionnement sécurisées, en particulier dans des secteurs comme l’aérospatiale, l’automobile, la santé et les télécommunications. Selon une analyse fournie dans un rapport de la NPA, les chaînes d’approvisionnement compromises peuvent introduire des vulnérabilités cachées, ayant un impact sur les opérations bien au-delà des frontières nationales.
Les petites et moyennes entreprises (PME), souvent sous-traitantes dans les chaînes d’approvisionnement critiques, sont particulièrement vulnérables en raison des ressources limitées nécessaires pour investir dans des cadres de cybersécurité avancés. Cela souligne l’importance pour les grandes entreprises d’intégrer la gestion des risques liés à la chaîne d’approvisionnement dans le cadre de leurs initiatives de sécurité plus larges.
Les experts soulignent l’importance de mesures de cybersécurité proactives pour protéger les actifs organisationnels sensibles contre des menaces telles que MirrorFace.
« Les organisations japonaises font probablement déjà ce qu’elles doivent ou peuvent faire », a déclaré Yugal Joshi, associé chez Everest Group. « Certains d’entre eux sont des éléments de base comme l’évaluation régulière des vulnérabilités, les tests d’intrusion, les journées de piratage, etc. »
Joshi a souligné que l’adoption de technologies avancées est tout aussi cruciale. « Pour qu’ils puissent faire de la cyberdéfense avec plus de diligence, ils ont besoin de fonctions RSSI bien dotées et utilisent l’IA et l’automatisation dans leurs opérations. En outre, tirer parti des enseignements tirés d’autres régions du monde, ciblées par les pirates informatiques chinois, les aidera également », a-t-il noté.
Il a ajouté que la préparation des employés doit rester une priorité absolue, en particulier compte tenu de la sophistication des tactiques de phishing et d’ingénierie sociale souvent employées par les attaquants. « Les employés constituent le maillon le plus faible de la cyberdéfense et ils doivent être encadrés, éduqués et constamment formés », a déclaré Joshi.
La réponse coordonnée du Japon
Les autorités japonaises ont intensifié leur collaboration avec les entités des secteurs privé et public pour empêcher la répétition de telles violations.
« En faisant connaître les tactiques de MirrorFace, notre objectif est de doter les entreprises et les individus des connaissances nécessaires pour contrecarrer des attaques similaires à l’avenir », a déclaré la NPA dans son avis.
Les entreprises sont invitées à mettre en œuvre des stratégies robustes de réponse aux incidents, en se concentrant sur la protection des points finaux, la détection avancée des menaces et la formation rigoureuse des employés pour contrer les tactiques d’ingénierie sociale. Les grandes entreprises doivent donner la priorité à la collaboration avec les organismes gouvernementaux de cybersécurité pour obtenir des renseignements exploitables sur les menaces et renforcer les défenses en temps réel, ajoute l’avis.