Flax Typhoon a exploité ArcGIS pour obtenir un accès à long terme

Un groupe de menaces persistantes avancées (APT), Flax Typhoon, a pu obtenir un accès persistant à l’outil de cartographie ArcGIS pendant plus d’un an, mettant ainsi plusieurs entreprises en danger.

ArcGIS est une plateforme géospatiale développée par ESRI, sur laquelle les organisations s’appuient souvent pour comprendre et analyser les données dans un contexte géographique.

La société chinoise Flax Typhoon, également connue sous le nom d’Ethereal Panda, a modifié l’extension d’objet serveur Java (SOE) de l’application de géocartographie en un shell Web fonctionnel, selon une nouvelle étude de ReliaQuest.

Flax Typhoon disposait d’un accès sécurisé avec une clé codée en dur pour un contrôle exclusif et l’intégrait dans les sauvegardes du système. Cela a aidé l’acteur à atteindre une persistance profonde et à long terme qui pourrait survivre à une récupération complète du système. Il a donné la priorité à la persistance, aux mouvements latéraux et à la collecte d’informations d’identification, obtenant généralement un accès initial en exploitant des serveurs publics, en déployant des shells Web et en établissant des connexions VPN, a noté l’entreprise.

« Les tactiques deviennent de plus en plus sophistiquées pour compromettre et manipuler des composants ou des outils fiables tels que PowerShell, des SoE personnalisés ou des connexions à des portails publics au lieu de créer et d’injecter un malware », a déclaré Neil Shah, vice-président de Counterpoint Research. « Cela pourrait donc passer inaperçu car il existe une forme de référence déjà établie ou un niveau de confiance plus élevé en matière de sécurité et est mis sur liste blanche par les entreprises ayant la responsabilité du développeur d’applications ou d’outils. »

Transformer ArcGIS en un shell Web

L’activité a commencé par la modification d’un SOE du serveur ArcGIS pour qu’il se comporte comme un shell Web, a expliqué ReliaQuest. Les attaquants ont trouvé un serveur ArcGIS public connecté à un serveur ArcGIS interne privé pour les calculs back-end (une configuration par défaut courante). Il exécute ensuite des commandes codées en base64 (déguisées) sur le serveur de portail, conformément à ce modèle de proxy.

Pour l’exécution initiale, les acteurs ont envoyé une requête Web GET malveillante avec une charge utile codée en base64 dans le paramètre layer. Décodé, il s’est résolu en « cmd.exe /c mkdir C:WindowsSystem32Bridge », demandant au serveur de créer un répertoire système caché nommé Bridge. Cela sert d’espace de travail privé pour les attaquants. Une clé codée en dur a été ajoutée à la requête, qui était nécessaire pour déclencher le shell Web et exécuter des commandes.

Cela a été suivi par un abus répété de ce même shell Web pour exécuter des commandes PowerShell codées supplémentaires, acheminées via la même extension « JavaSimpleRESTSOE » et la même opération « getLayerCountByType ». Cette méthode cohérente leur a permis d’avancer vers leurs objectifs tout en s’intégrant au trafic normal des serveurs.

Après avoir appris que le shell Web fonctionnait, l’auteur de la menace a utilisé des commandes de découverte telles que « whoami » pour découvrir le compte de service compromis avec les droits d’administrateur local et a créé de nouveaux répertoires pour servir de zone de préparation pour les outils qu’ils utiliseraient plus tard.

L’activité a été accélérée en analysant le réseau interne via divers protocoles, notamment Secure Shell (SSH), HTTPS, Server Message Block (SMB) et Remote Procedure Call (RPC), et en effectuant plusieurs analyses SMB sur différents sous-réseaux internes. Ensuite, pour établir un accès à long terme, l’exécutable SoftEther VPN renommé «bridge.exe» a été téléchargé dans le répertoire Windows System32 par défaut, ce qui a réduit les chances de détection. Le SOE malveillant fournissait également un accès continu et, étant donné qu’il se trouvait sur le serveur ArcGIS pendant une période prolongée, il était également stocké dans les sauvegardes de la victime.

Qui est à risque ?

Dans le premier cas documenté confirmé par ArcGIS, où le SOE malveillant a été utilisé, ReliaQuest a identifié que le mot de passe du compte administrateur du portail ArcGIS était un mot de passe leet d’origine inconnue, suggérant que l’attaquant avait accès au compte administratif et a pu réinitialiser le mot de passe.

« Toute organisation qui utilise ArcGIS dans un environnement en réseau, si elle est exposée en externe ou à d’autres systèmes de données d’entreprise, court un risque », a déclaré Devroop Dhar, co-fondateur et directeur général de Primus Partners. « Le principal risque est que les attaquants puissent utiliser une extension compromise pour maintenir l’accès et supprimer les données sensibles. Comme ArcGIS est largement utilisé dans la cartographie, la logistique et la planification du secteur public, les données dont il dispose peuvent être sensibles, comme les cartes de réseau, les registres de population et la configuration des infrastructures. « 

En conséquence, pour la plupart des entreprises, la préoccupation n’est pas seulement une perturbation immédiate, mais aussi une observation silencieuse. Si un attaquant se trouve à l’intérieur d’un système qui suit l’infrastructure ou la logistique, cela constitue un sérieux avantage en matière de renseignement.

« Pour vérifier si une faille est compromise, les organisations doivent commencer par dresser un inventaire complet de toutes les versions d’ArcGIS Server dans leur environnement et énumérer chaque extension d’objet serveur (SOE) et chaque intercepteur d’objet serveur (SOI) utilisés », a déclaré Amit Jaju, directeur général principal – Inde chez Ankura Consulting. « Ensuite, ils doivent les comparer aux valeurs de hachage connues de la source et du fournisseur pour détecter les modifications non autorisées. Mener une recherche détaillée de tout fichier ou structure de classe SOE JAR anormal, de jeton codé en dur ou de clé de chiffrement, de journaux d’activité d’administrateur suspects et d’indicateurs de shell Web identifiés par les chercheurs en sécurité. « 

Jaju a ajouté que les RSSI ne doivent pas négliger les sauvegardes ou les AMI, vérifier qu’elles ne sont pas ensemencées par des SOE malveillants et confirmer l’intégrité de vos images dorées.

Pour y remédier, isolez immédiatement les serveurs ArcGIS concernés, alternez tous les comptes de service et secrets associés et appliquez des contrôles stricts de moindre privilège aux identités de service ArcGIS. « Reconstruisez les systèmes compromis uniquement à partir de supports connus, en redéployant les extensions qui sont à la fois signées et examinées de manière indépendante. Dans la mesure du possible, appliquez la validation de la signature de code pour tous les SOE afin d’éviter toute falsification. Enfin, renforcez votre posture de surveillance, ajoutez des détections spécifiquement pour les abus SOE et l’activité anormale des points de terminaison administratifs ArcGIS, et diversifiez vos sources de renseignements sur les menaces en vous abonnant à plusieurs flux plutôt que de vous fier uniquement aux KEV », a ajouté Jaju.

Les logiciels de confiance sont la nouvelle surface d’attaque

Les analystes en sécurité affirment que l’affaire Flax Typhoon met en évidence une évolution inquiétante dans la militarisation de composants de confiance plutôt que dans le déploiement de logiciels malveillants conventionnels.

En 2023, le même groupe a ciblé des dizaines d’organisations à Taiwan avec probablement l’intention de pratiquer de l’espionnage, a rapporté Microsoft. En 2020, SolarWinds a été la cible de pirates informatiques. Ils ont déployé un code malveillant dans le logiciel de surveillance et de gestion informatique SolarWinds Orion, utilisé par des milliers d’entreprises et d’agences gouvernementales dans le monde entier.

En mars 2023, 3CX a subi une grave compromission dans sa chaîne d’approvisionnement logicielle qui a entraîné l’empoisonnement de ses applications Windows et macOS par un code malveillant.

Selon les experts, les auteurs de menaces ont réalisé que compromettre un module d’un fournisseur de confiance leur donnait un accès gratuit. Par conséquent, les logiciels des fournisseurs ne doivent pas être considérés comme sûrs par défaut. « Les plates-formes de confiance nécessitent également une vérification continue. Des contrôles réguliers de l’intégrité du code, une surveillance plus stricte des mises à jour des fournisseurs et des tests périodiques d’intrusion des systèmes intégrés sont essentiels », a ajouté Dhar.

Les RSSI devraient également inciter les fournisseurs à fournir de la transparence et de la clarté, comme les SBOM (Software Bills of Materials), les détails de leurs propres tests de sécurité et protocoles de divulgation, a déclaré Dhar. « Il est également important de séparer les privilèges ; ce n’est pas parce qu’un module provient d’un fournisseur de confiance qu’il doit accéder à tout le réseau. »

Utiliser efficacement l’IA pour surveiller en temps réel toute anomalie dans l’analyse comportementale, en comparant avec une longue histoire plutôt qu’une tranche de temps est essentiel, a ajouté Shah.