• Le groupe Weaver Ant a infiltré des fournisseurs de télécommunications en utilisant des techniques furtives.
  • La campagne est restée indétectée pendant plus de quatre ans.

Ce qui s'est passé:Une campagne d'espionnage furtive dans les télécoms dévoilée

Un groupe de pirates informatiques lié à la Chine, surnommé Weaver Ant, a secrètement infiltré plusieurs fournisseurs de télécommunications asiatiques sur une période d'au moins quatre ans, selon un rapport de l'entreprise de cybersécuritéSygnia. Les attaquants ont utilisé des techniques avancées, notamment le tunnelling chiffré et les shells web, pour maintenir leur persistance et échapper à la détection.

Les pirates ont utilisé des routeurs domestiques Zyxel compromis à travers l'Asie du Sud-Est comme réseau de relais, masquant ainsi efficacement leur origine. Cela leur a permis de mener des opérations d'espionnage à long terme, de collecter des identifiants et de surveiller l'activité du réseau interne. Les attaquants ont également déployé un shell web jusqu'alors inconnu, nommé INMemory, qui exécute des charges utiles directement dans la mémoire du serveur, laissant peu de traces médico-légales.

L'enquête de Sygnia a révélé que Weaver Ant a utilisé un réseau deboîtiers de relais opérationnels (ORB)non provisionnés pour relayer le trafic malveillant, dissimulant davantage son infrastructure. Le groupe a également démontré un haut niveau d'adaptabilité, passant d'un fournisseur de télécommunications à un autre via des appareils compromis, tout en contournant les mesures de sécurité.

La brèche a été découverte accidentellement lors d'une enquête distincte de Sygnia, lorsqu'un compte précédemment désactivé a été réactivé par un compte de service. Cette réactivation a conduit les analystes à découvrir la campagne d'espionnage plus vaste, confirmant l'accès étendu de Weaver Ant sur plusieurs réseaux de télécommunications.

À lire également:Les télécoms à la croisée des chemins: l'appel à l'action de Google Cloud en matière d'IA
À lire également:NVIDIA AI: révolutionner les télécoms avec AI-RAN et GenAII

Pourquoi c'est important

La révélation de cette campagne met en évidence la vulnérabilité des infrastructures télécoms critiques face aux opérations prolongées de cyberespionnage. Les fournisseurs de télécommunications, étant au cœur des communications, sont des cibles lucratives pour les acteurs étatiques cherchant à obtenir des renseignements sur les activités gouvernementales, commerciales et individuelles.

En utilisant des routeurs domestiques comme relais, les attaquants ont effectivement contourné les systèmes de détection réseau traditionnels. Cette approche, associée à l'utilisation de shells web basés sur la mémoire, démontre une évolution des techniques de piratage, rendant plus difficile pour les équipes de sécurité de tracer ou de bloquer l'intrusion.

De plus, la persistance de l'attaque sur plusieurs années suggère que les opérateurs télécoms pourraient être confrontés à des faiblesses systémiques dans leurs cadres de sécurité. L'incident souligne la nécessité d'une surveillance continue, de systèmes avancés de détection des menaces et de mesures de cybersécurité proactives pour prévenir des brèches similaires.