Integrity Tech a été accusé d’avoir aidé le groupe de menaces persistantes avancées Flax Typhoon avec l’infrastructure nécessaire pour mener à bien ses attaques.
L’Office of Foreign Assets Control (OFAC) du Département américain du Trésor a imposé des sanctions à une société de cybersécurité de Pékin pour son rôle dans des attaques attribuées à un groupe de cyberespionnage chinois connu sous le nom de Flax Typhoon.
La société, appelée Integrity Technology Group (Integrity Tech), est accusée d’avoir fourni l’infrastructure informatique que Flax Typhoon a utilisée dans ses opérations entre l’été 2022 et l’automne 2023.
Cependant, selon un avis conjoint du FBI, de la NSA et des agences de renseignement du Canada, d’Australie et du Royaume-Uni, la société a également maintenu l’infrastructure de commande et de contrôle d’un botnet composé de plus de 260 000 appareils IoT compromis.
« Integrity Technology Group (Integrity Tech) est une société basée en RPC ayant des liens avec le gouvernement de la RPC », ont indiqué les agences dans leur avis de l’époque. « Integrity Tech a utilisé les adresses IP du réseau de la province de Pékin de China Unicom pour contrôler et gérer le botnet décrit dans cet avis. En plus de gérer le botnet, ces mêmes adresses IP du réseau de la province de Pékin de China Unicom ont été utilisées pour accéder à d’autres infrastructures opérationnelles utilisées dans des activités d’intrusion informatique contre des victimes américaines.
L’activité malveillante, qui comprenait la compromission d’organisations américaines dans le secteur des infrastructures critiques, a été attribuée à Flax Typhoon, un groupe de cyberespionnage parrainé par l’État chinois actif depuis 2021 et également connu sous le nom de RedJuliett et Ethereal Panda.
Les sanctions de l’OFAC bloquent tous les actifs d’Integrity Tech qui se trouvent aux États-Unis ou sous le contrôle de personnes américaines. Les actifs des entités dans lesquelles Integrity Tech détient plus de 50 % sont également bloqués et il est interdit à tous les individus et organisations de s’engager dans des transactions commerciales ou financières avec elles ou avec la société chinoise.
Botnet IoT mondial Flax Typhoon
Le botnet de Flax Typhoon date d’au moins 2021 et est basé sur Mirai, une famille de logiciels malveillants pour les appareils IoT basés sur Linux dont le code est accessible au public. Avant 2016, Mirai était l’un des botnets IoT les plus importants et les plus puissants, étant responsable de certaines des plus grandes attaques DDoS jamais enregistrées. Après son abandon par son créateur et la publication de son code en ligne, de nombreux groupes malveillants ont construit leurs propres variantes de botnet sur cette base.
Le botnet de Flax Typhoon utilise des exploits connus pour compromettre les routeurs, les pare-feu, les caméras IP, les enregistreurs vidéo numériques, les périphériques de stockage connectés au réseau et d’autres serveurs basés sur Linux. En juin, le botnet comptait plus de 260 000 nœuds actifs, mais la base de données de ses serveurs de commande et de contrôle répertoriait plus de 1,2 million d’appareils compromis, actifs et inactifs, dont 385 000 basés aux États-Unis.
« Les serveurs de gestion hébergent une application connue sous le nom de Sparrow qui permet aux utilisateurs d’interagir avec le botnet », ont indiqué les agences de renseignement dans leur avis de septembre. « Les acteurs ont utilisé des adresses IP spécifiques enregistrées sur le réseau de la province de Pékin de China Unicom pour accéder à cette application, y compris les mêmes adresses IP précédemment utilisées par Flax Typhoon pour accéder aux systèmes utilisés dans les activités d’intrusion informatique contre les victimes basées aux États-Unis. »
Le botnet de Flax Typhoon peut être utilisé pour lancer des attaques DDoS, ce qui est une fonctionnalité inhérente à Mirai, mais les nœuds peuvent également recevoir l’ordre d’exploiter d’autres appareils traditionnels sur les mêmes réseaux en utilisant un ensemble d’exploits. Les analystes ont découvert un sous-composant appelé « arsenal de vulnérabilité » qui pourrait être utilisé pour de telles activités de mouvement latéral.
Flax Typhoon a compromis les réseaux informatiques en Amérique du Nord, en Europe, en Afrique et en Asie, mais le groupe se concentre particulièrement sur Taiwan, qui est au centre des intérêts géopolitiques de la Chine. Une fois qu’ils ont accès à un réseau d’intérêt, les pirates du groupe déploient souvent des programmes d’accès à distance légitimes pour maintenir un contrôle persistant.
Plus tôt cette semaine, le département du Trésor a révélé qu’un groupe chinois APT parrainé par l’État avait eu accès à un certain nombre de ses postes de travail et avait accès à des documents non classifiés. L’accès était le résultat d’une clé compromise utilisée pour un accès à distance sécurisé via un service tiers de BeyondTrust. Le groupe APT responsable n’a pas encore été identifié publiquement.