Un nouveau malware chinois suspecté d'être au cœur d'une campagne de cyber-espionnage

16 août 2021 à 17h10
20
trojan cheval de troie fotolia
© Fotolia

Un cheval de Troie serait employé depuis plusieurs mois par un groupe de pirates informatiques au service du gouvernement chinois afin de récolter des données sensibles sur plusieurs États. Une dizaine d'attaques ont ainsi été recensées depuis le début de l'année 2021. C'est ce qu'affirme l'entreprise spécialisée dans la cybersécurité FireEye.

Baptisé APT31 par FireEye, en référence à l'acronyme anglophone « Advanced Persistent Threat » qualifiant ce type de menace, ce trojan aurait déjà impacté plusieurs pays. Pour l'heure, aucune communication officielle émanant de Pékin sur le sujet n'est connue.

La Chine à nouveau accusée de cyber-espionnage

Ce n'est pas la première fois que l'Empire du Milieu est mis sur le banc des accusés concernant une affaire de cyber-espionnage par l'emploi d'un groupe de hackers parrainé par Pékin. Plusieurs entreprises spécialisées dans la cybersécurité, telles que FireEye et Positive Technologies, pensent qu'un groupe de pirates informatiques chinois est derrière la dizaine d'attaques dernièrement perpétrées entre janvier et juillet 2021.

Également révélées par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) courant juillet, ces offensives ont directement ciblé des États tels que la Biélorussie, le Canada, les États-Unis, la Mongolie et, une première selon Positive Technologies, la Russie. Le biais employé, une méthode des plus classiques, est un cheval de Troie. Cette méthode est qualifiée par FireEye d'Advanced Persistent Threat (APT) dans la mesure où elle s'attaque directement à des structures publiques ou privées majeures et s'étale dans la durée, ici depuis près de six mois, grâce à un financement obtenu par au moins un État.

Un précédent déjà connu

Selon l'ANSSI, le mode opératoire est le suivant : le cheval de Troie « compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques ». Une fois la machine infectée, il est en mesure de collecter des informations, créer de nouveaux flux et processus voire un répertoire, rechercher des fichiers et même se supprimer.

APT31, ainsi est baptisé ce groupe de hackers par FireEye, est également connu sous le nom de Bronze Vinewood pour Microsoft, Judgment Panda pour CrowdStrike et Zirconium pour SecureWorks. Autant de noms de code pour un seul groupe d'individus qui, selon FireEye, a pour dessein de « récolter des renseignements pour octroyer un avantage politique, économique et militaire aux entreprises publiques et au gouvernement chinois ».

Guillaume Poupard ANSSI © © DR
De Pegasus à APT31, il n'y a qu'un pas pour le patron de l'ANSSI. ©DR

Les mêmes membres de ce groupe de cyberpirates avaient déjà utilisé Dropbox l'année dernière pour propager un cheval de Troie, nommé DropboxAES par Positive Technologies. Ainsi, « les mécanismes et techniques employés pour infiltrer le code d'attaque, obtenir la persistance et supprimer l'outil d'espionnage » sont quasi similaires selon la firme. Guillaume Poupard, le directeur général de l'ANSSI, n'avait d'ailleurs pas hésité le 23 juillet dernier à commenter les découvertes autour d'APT31, qu'il jugeait « bien plus graves » que les révélations autour de l'affaire Pegasus.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
20
16
Casperna
Je sais qu’il fallait pas que j arrête le Basic…
Werehog
Bon, en gros on sait qui c’est, on sait que c’est très grave, mais on ne fait rien parce que c’est la Chine ? Ah bah mince, ils ont tous les droits, dommage… Donc ça va continuer jusqu’à quel point ? A quel niveau de honte va-t-on s’abaisser ?
neaufles
on ne fait rien parce qu’on fait pire.
notolik
Je n’ai vu aucun péruvien annexer la Crimée, ni dézinguer des avions de lignes, ni envoyer des barbouzes en Ukraine, ni empoisonner les gens gênants, …<br /> La pire chose qu’ont fait les USA sur les 5 dernières années, c’est Trump… OK, c’est du lourd, mais est-ce vraiment comparable?
twenty94470
Le Pérou c’est du second degré justement… Et les écoutes des téléphones de Merkel par exemple c’est sous Obama…
Nervantoss
Je crois que tu as oublié la Fabrication de fausses preuves pour attaquer un pays (L’Irak) une guerre à 500 000 morts.<br /> Et on parlera pas du fiasco Afgan. Très calme en Syrie depuis qu’ils ont le control du pétrole « J’ai toujours dit, si on y va, gardons le pétrole », D.Trump(Agence France-Presse 2019 ) une heureuse coïncidence comme on dit.<br /> Les USA ont même pas 300 ans d’existence et plus de 200 ans de guerre. On est d’accord sur un point, aucune nation n’est comparable.<br /> Slovaquie, Serbie, Kirghizistan, il y a 20 ans ils ne se cachaient même pas d’influer sur le processus électoral ou les manifestations(Révolution coloré ).<br /> Aussi L’Ukraine leur sert de base avancé aux frontières avec la Russie. Il y a eu un vote en Crimée, que ça plaise ou non. En fait les brigade Azov et autre ultra nationalistes auraient surement massacré les Russophone sans l’intervention Russe. Comme ils l’ont fait à Odessa. pas dur de choisir…<br /> Les USA, dans les faits, ils ont plus de sang sur les mains que n’importe quelle autre nation. Mais ils ont un bon service de com.<br /> C’est pour ça que quand on dit pirate informatique on pense tous «&nbsp;Chinois , Russes&nbsp;»<br /> Pourtant ce sont bien les êtas unis qui ont espionnés le monde entier même leurs alliés. Et la pas de " source anonyme ", des preuves direct . Le piratage des cartes des SIM (2015) c’est également eux.
benben99
Bon, en gros on sait qui c’est, on sait que c’est très grave, mais on ne fait rien parce que c’est la Chine ?<br /> Pas tellement différent de comment les autres pays traitent les états-unis, par exemple. Ils peuvent espionner la chancellière Allemande etc. et ca n’a aucune conséquence. On pourrait aussi parler d’Israel etc. Bref, tous les pays font de l’espionnage. C’est rien de vraiment nouveau.
Popoulo
Les israéliens ne valent pas mieux que les chinois ou les ricains ou je ne sais qui d’autre.<br /> Pas un pour rattraper l’autre.<br /> Comme dit plus haut, l’espionnage a toujours existé, depuis la nuit des temps. Excepté que maintenant, information ou désinformation oblige (suivant l’orientation du média), cela va se transformer en lynchage ou en article dans la rubrique des chiens écrasés.<br /> L’info circule maintenant vite et chacun y rajoute une pincée de sel ou de sucre au passage.
Popoulo
Serai plutôt tenté de croire au «&nbsp;pas vu pas pris&nbsp;».
Orko
Message à caractère raciste / Hors charte
Starfoul
FireEye , on peut y lire en gros<br /> Responsable présumé [Iran] [Chine] [Corée du Nord] [Russie] [Vietnam] [Inconnu]<br /> Donc à part ces pays là, aucun autre pays ne pratique l’espionnage.<br /> Extrait du rapport SPECIAL concernant la Chine:<br /> FireEye Threat Intelligence a la certitude qu’APT41 est une cellule de cyberespionnage<br /> financée par l’État chinois<br /> Pour FireEye Threat Intelligence, APT41 est sans aucun doute un groupe<br /> cyber qui mène des opérations d’espionnage pour le compte de la Chine<br /> Nous pensons qu’APT41 est un groupe extrêmement<br /> habile, à la pointe de l’innovation<br /> Responsabilité présumée<br /> Nous pouvons affirmer avec certitude qu’APT41<br /> est un groupe d’attaque chinois à la solde de son<br /> gouvernement, pour lequel il mène des opérations<br /> de cyberespionnage<br /> Nous avons également identifié deux individus impliqués<br /> dans les opérations d’APT41, surnommés « Zhang<br /> Xuguang » et « Wolfzhi », sur des forums en chinois. Les<br /> informations sur ces individus, leurs activités passées,<br /> leurs compétences évidentes en programmation et<br /> leur propension à cibler des jeux du marché chinois<br /> confirment leur implication.<br /> Plusieurs domaines utilisés dans le cadre des<br /> premières opérations d’APT41 étaient liés à des<br /> adresses e-mail et des noms associés à Zhang<br /> Xuguang et Wolfzhi (ou d’autres pseudonymes qu’ils<br /> utilisaient). Les informations sur les propriétaires de<br /> ces domaines faisaient également référence à des<br /> numéros de téléphone chinois et plus précisément<br /> pékinois (précédés de l’indicatif du pays +86).<br /> Zhang Xuguang (张旭光) a ainsi enregistré plus d’une<br /> dizaine de domaines usurpant des noms d’entreprises<br /> et de jeux vidéo bien connus des développeurs et<br /> distributeurs du secteur. Les activités de longue date<br /> de Zhang Xuguang témoignent de sa propre volonté<br /> d’améliorer son expertise et ses compétences<br /> Voici également des exemples de domaines<br /> enregistrés à l’aide de pseudonymes connus (certains<br /> d’entre eux pourront désormais avoir été réenregistrés<br /> de façon légitime)<br /> In 2005, Zhang Xuguang a publié des informations<br /> personnelles sur « 华夏黑客同盟 » (Alliance des pirates<br /> chinois), un célèbre forum en ligne chinois. Il indiquait<br /> alors être né en 1989, avoir vécu en Mongolie-Intérieure<br /> et se spécialiser dans le piratage de scripts (cf. Figure<br /> 13). D’après son profil, il avait alors 16 ans, presque 17,<br /> et était candidat au rôle d’administrateur d’un forum<br /> de piratage de scripts.<br /> Quant à Wolfzhi, un profil datant de 2017 sur la page<br /> d’une communauté de data scientists indique qu’il avait<br /> 10 ans d’expérience à l’époque, surtout avec Oracle et<br /> Python. D’autres documents associés à ses comptes<br /> de messagerie mettent également en lumière ses<br /> compétences de programmeur et son expérience dans<br /> les bases de données.<br /> D’autres éléments encore relient ces opérations à la<br /> Chine, comme l’utilisation de malwares exclusivement<br /> exploités par des groupes de cyberespionnage chinois,<br /> l’utilisation de chaînes de caractères en langue chinoise,<br /> le fuseau horaire et l’analyse des heures d’activité, ainsi<br /> qu’un choix de cibles servant clairement les intérêts de<br /> Pékin.<br /> Nous pouvons affirmer avec une relative certitude<br /> qu’APT41 se compose de hackers indépendants auxquels<br /> la Chine confie des missions de cyberespionnage.<br /> En effet, les individus liés au groupe ont indiqué être<br /> ouverts aux propositions de contrat et ont vanté leurs<br /> compétences et services par le passé. Le statut de<br /> sous-traitant de ses pirates expliquerait le fait qu’APT41<br /> utilise les mêmes malwares pour ses opérations de<br /> cyberespionnage et de cyberbraquage. De fait, des<br /> agents de l’État seraient moins susceptibles d’utiliser ces<br /> outils pour leur propre profit pendant plusieurs années,<br /> compte tenu de la surveillance à laquelle ils sont soumis<br /> et des éventuelles sanctions qu’ils encourent.<br /> Bien que nous ne disposions pas de preuves directes<br /> de la traque et du vol de certificats de signature de code<br /> par APT41, certains éléments laissent à penser que le<br /> groupe cible les entreprises touchées et compromet<br /> leurs certificats numériques pour signer ses malwares<br /> au cours d’une même période<br /> APT41 a tenté d’effacer les preuves de certaines de ses activités en<br /> supprimant les historiques bash et les événements système et de sécurité de Windows,<br /> et en modifiant la gestion DNS afin d’échapper aux antivirus.<br /> D’après FireEye , APT41 est à la pointe de l’espionnage tout en étant composé d’idiot qui laissent des traces grotesques pour se faire pister ,mais il n’empêche que FireEye à la certitude sans aucun doute que présumément c’est la Chine qui est derrière tout ça , ben oui la preuve c’est qu’ils écrivent en chinois.
Fatima
C’est drôle , ces experts anglo saxon accusent toujours les même pays Chine, Russie ou la Corée du Nord (ce ne sont pas des saints aussi ) mais jamais les Etats Unis et ces alliés proche .<br /> C’est là qu’on doute de leurs véracité
Starfoul
On peut aussi comparer le nombre APT pour chaque pays répertorié par Wikipedia ,les USA et israel n’ont chacun qu’un seul APT…<br /> en.wikipedia.org<br /> Advanced persistent threat<br /> An advanced persistent threat (APT) is a stealthy threat actor, typically a nation state or state-sponsored group, which gains unauthorized access to a computer network and remains undetected for an extended period. In recent times, the term may also refer to non-state-sponsored groups conducting large-scale targeted intrusions for specific goals.<br /> Such threat actors' motivations are typically political or economic. Every major business sector has recorded instances of cyberattacks by advanced ...<br /> Un autre APT passé sous silence<br /> https://blogs.360.cn/post/APT-C-39_CIA_EN.html#toc-a76
raymondp
Ben, pour rester sur le sujet de l’espionnage industriel ou autre, la différence, c’est qu’avec les US au moins cela restait au niveau des états, et en ce qui concernait les entreprises c’était plutôt marginal.<br /> Avec la Chine, l’espionnage et le vol de propriété intellectuelle est la norme , et cela concerne les entreprises, les particuliers et les états, sans aucune gêne<br /> Pour l’anecdote, une de mes connaissances travaille dans une entreprise qui commercialise du fromage de type français en chine. Sa recette a été intégralement copiée par un concurrent, mais il ne faut même pas chercher à lutter contre cela avec un procès ou autre, ça serait aller au devant de gros problèmes…
benben99
Fatima:<br /> C’est drôle , ces experts anglo saxon accusent toujours les même pays Chine, Russie ou la Corée du Nord (ce ne sont pas des saints aussi ) mais jamais les Etats Unis et ces alliés proche .<br /> C’est là qu’on doute de leurs véracité<br /> Effectivement, c’est ce que j’observe egalement
carinae
En même temps tu veux leur dire quoi ? On sait très bien qu’ils sont derrière bien des attaques, tout comme les russes, mais en même temps rien ne prouve réellement que les actions effectuées par ce groupe sont réellement commanditées par le gouvernement… surtout compte tenu de leur communication plus que sujette à caution,( on l’a vu lors de la pandémie).
carinae
En quoi cela remet en cause la véracité des informations ? Ce n’est pas parce qu’il n’y a pas d’article sur les actions françaises, européennes ou autre que ça induit forcément que les actions litigieuses faites par les chinois ou les russes sont fausses. Je ne pense pas prendre beaucoup de risques en disant que les gouvernements de ces 2 pays ne doivent certainement pas, eux non, plus se vanter auprès de leurs populations de ce qu’ils font ou font faire a l’étranger.
pecore
Les pays s’espionnent entre eux et des pays non-amis en plus ? Mais ou va le monde ma brave dame.
GRITI
@Cynian90<br /> Merci de ne rien affirmer sans preuve.<br /> Tes attaques nombreuses sur la Chine deviennent pénibles.<br /> Tout comme les messages qui vantent constamment la Chine d’ailleurs.
GRITI
@Cynian90<br /> Merci de ne pas en rajouter après avoir été rappelé à l’ordre. Je ne compte pas me répéter…
Voir tous les messages sur le forum

Derniers actualités

Malgré les polémiques, le Bitcoin a toutes les peines du monde à passer à l'énergie verte
Avec cette ODR, le Smart Monitor M7 de Samsung est 50€ moins cher !
Chute de prix sur ce pack contenant un Echo Show 8 et une ampoule Philps Hue
Apple envisage de prélever un (trop) gros pourcentage sur les NFT
Fake news et réseaux sociaux s'invitent encore dans les élections brésiliennes
Intel annonce le Core i9-13900KS pour début 2023 : un processeur à 6 GHz !
De Facebook à Insta, et inversement : comment Meta va rendre le passage de l'un à l'autre bien plus facile
XeSS : le concurrent Intel du DLSS fait ses débuts sur Shadow of the Tomb Raider
Finalement, les anciens iPad Pro auront une version bridée du multitâche Stage Manager
Les Arc A770 d'Intel arrivent ! Vous comptiez acheter une carte graphique ? Attendez !
Haut de page