Un nouveau malware chinois suspecté d'être au cœur d'une campagne de cyber-espionnage

16 août 2021 à 17h10
20
trojan cheval de troie fotolia
© Fotolia

Un cheval de Troie serait employé depuis plusieurs mois par un groupe de pirates informatiques au service du gouvernement chinois afin de récolter des données sensibles sur plusieurs États. Une dizaine d'attaques ont ainsi été recensées depuis le début de l'année 2021. C'est ce qu'affirme l'entreprise spécialisée dans la cybersécurité FireEye.

Baptisé APT31 par FireEye, en référence à l'acronyme anglophone « Advanced Persistent Threat » qualifiant ce type de menace, ce trojan aurait déjà impacté plusieurs pays. Pour l'heure, aucune communication officielle émanant de Pékin sur le sujet n'est connue.

La Chine à nouveau accusée de cyber-espionnage

Ce n'est pas la première fois que l'Empire du Milieu est mis sur le banc des accusés concernant une affaire de cyber-espionnage par l'emploi d'un groupe de hackers parrainé par Pékin. Plusieurs entreprises spécialisées dans la cybersécurité, telles que FireEye et Positive Technologies, pensent qu'un groupe de pirates informatiques chinois est derrière la dizaine d'attaques dernièrement perpétrées entre janvier et juillet 2021.

Également révélées par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) courant juillet, ces offensives ont directement ciblé des États tels que la Biélorussie, le Canada, les États-Unis, la Mongolie et, une première selon Positive Technologies, la Russie. Le biais employé, une méthode des plus classiques, est un cheval de Troie. Cette méthode est qualifiée par FireEye d'Advanced Persistent Threat (APT) dans la mesure où elle s'attaque directement à des structures publiques ou privées majeures et s'étale dans la durée, ici depuis près de six mois, grâce à un financement obtenu par au moins un État.

Un précédent déjà connu

Selon l'ANSSI, le mode opératoire est le suivant : le cheval de Troie « compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques ». Une fois la machine infectée, il est en mesure de collecter des informations, créer de nouveaux flux et processus voire un répertoire, rechercher des fichiers et même se supprimer.

APT31, ainsi est baptisé ce groupe de hackers par FireEye, est également connu sous le nom de Bronze Vinewood pour Microsoft, Judgment Panda pour CrowdStrike et Zirconium pour SecureWorks. Autant de noms de code pour un seul groupe d'individus qui, selon FireEye, a pour dessein de « récolter des renseignements pour octroyer un avantage politique, économique et militaire aux entreprises publiques et au gouvernement chinois ».

Guillaume Poupard ANSSI © © DR
De Pegasus à APT31, il n'y a qu'un pas pour le patron de l'ANSSI. ©DR

Les mêmes membres de ce groupe de cyberpirates avaient déjà utilisé Dropbox l'année dernière pour propager un cheval de Troie, nommé DropboxAES par Positive Technologies. Ainsi, « les mécanismes et techniques employés pour infiltrer le code d'attaque, obtenir la persistance et supprimer l'outil d'espionnage » sont quasi similaires selon la firme. Guillaume Poupard, le directeur général de l'ANSSI, n'avait d'ailleurs pas hésité le 23 juillet dernier à commenter les découvertes autour d'APT31, qu'il jugeait « bien plus graves » que les révélations autour de l'affaire Pegasus.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
20
16
Voir tous les messages sur le forum

Lectures liées

Bon Plan Antivirus : Bitdefender Total Security protège vos appareils avec 60% de réduction
Telegram : les activités de cybercriminalité se multiplient, selon un rapport
Ransomware : l'éditeur Bitdefender met à disposition un outil de déchiffrement pour REvil
Harcèlement scolaire : le hashtag #Anti2010 supprimé de TikTok
Google s'associe à l'OSTIF pour améliorer la sécurité des projets open source tels que Git
Cyberattaque AP-HP : 1,4 million de personnes testées au COVID-19 victimes d'un vol de données
Une faille dans Travis CI a exposé les variables d’environnement de milliers de projets open source
L'hébergeur de sites liés à l'extrême-droite Epik aurait été piraté et ses données dérobées par Anonymous
Une vulnérabilité présente dans un driver HP Omen menace des millions d’appareils de la marque
CyberGhost VPN : Bénéficiez d'un excellent tarif à 1,90€ + 2 mois gratuits
Haut de page