La faille d'Apache Log4j déjà exploitée par les hackers du gouvernement chinois

Les cyberattaquants étatiques n'ont pas perdu de temps pour exploiter la vulnérabilité récemment découverte dans Apache Log4j. Les équipes de Crowdstrike révèlent avoir récemment stoppé une tentative d'intrusion à des fins d'espionnage industriel provenant d'un groupe de hackers liés au gouvernement chinois.

Partager
La faille d'Apache Log4j déjà exploitée par les hackers du gouvernement chinois

Crowdstrike, fournisseur américain de solutions de sécurité, annonce cette semaine avoir détecté et arrêté une cyberattaque basée sur la vulnérabilité d'Apache Log4j qui a défrayé la chronique il y a trois semaines. Particularité de cette attaque : elle provient d'après Crowdstrike d'un groupe de hackers affilié au gouvernement chinois.

La cible était "une grande institution académique" et le motif de l'attaque n'est pas précisément connu. On peut néanmoins supposer qu'il s'agissait d'espionnage industriel, pratique malheureusement courante. Crowdstrike indique qu'il suit l'activité de ce groupe (qu'il a baptisé Aquatic Panda) depuis mai 2020.

Un logiciel VMware en cause
Pour rappel, la bibliothèque Log4j est utilisée quasi-systématiquement par les applications développées en Java/J2EE, ce qu'il fait qu'elle concerne potentiellement de nombreux organismes. En l'occurrence, le groupe de hackers s'est attaqué à la solution de bureau virtuel VMware Horizon qu'utilisait l'institution ciblée.

L'équipe "Overwatch" de Crowdstrike, qui fait de la détection proactive d'attaques, surveillait justement les activités anormales liées aux solutions VMware suite à une mise en garde de l'éditeur mi-décembre. C'est ce qui lui a permis de confondre les hackers, l'exécution de commandes Linux dans un environnement Windows lui mettant la puce à l'oreille. Une fois la victime contactée, elle a pu rapidement mettre en place des contre-mesures et sécuriser son infrastructure.

Une recrudescence d'attaques à prévoir
Cette révélation évoque l'annonce récente de sanctions de la part du gouvernement chinois envers Alibaba, dont les chercheurs en sécurité ont été les découvreurs de la faille dans Apache Log4j. Ils ont suivi les bonnes pratiques habituelles du secteur en contactant Apache et en attendant qu'un correctif de sécurité soit disponible pour annoncer publiquement leur découverte. Or le gouvernement chinois aurait préféré être prévenu en premier, avant même l'éditeur du logiciel concerné.

Crowdstrike n'est pas le premier à avoir détecté une attaque exploitant la faille de Log4j. Microsoft a fait part de tentatives similaires provenant d'acteurs étatiques (chinois, nord-coréens, iraniens, turcs...), de même que Mandiant, un autre fournisseur de solutions de cybersécurité américain.

La vulnérabilité étant déjà exploitée par les opérateurs de ransomwares, il est vivement recommandé à toutes les entreprises d'appliquer les correctifs de sécurité adéquats afin de démarrer l'année 2022 sereinement.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS