Le groupe de cyberespionnage Mustang Panda intensifie ses attaques contre l'industrie du fret maritime en Europe. Sa nouvelle stratégie audacieuse : l'utilisation de clés USB infectées, potentiellement distribuées lors d'événements et salons professionnels.
L'industrie maritime européenne est dans la ligne de mire des cybercriminels, et plus particulièrement du groupe Mustang Panda, connu pour ses liens présumés avec la Chine, qui a récemment changé de tactique pour cibler les entreprises de fret maritime. Nous sommes bien loin, ici, du traditionnel phishing par e-mail. Place désormais à une méthode plus perfide : les clés USB infectées, à l'apparence inoffensive lorsqu'elles sont déguisées en goodies. Aux Assises de la cybersécurité, nous avons discuté de cette étonnante méthode avec Mathieu Tartare, chercheur en logiciel malveillant chez ESET.
Mustang Panda : une distribution de clés USB qui inquiète et interroge
Mustang Panda n'est pas un nouveau venu dans le monde du cyberespionnage. Mathieu Tartare nous dit qu'il s'agit « d'un groupe affilié à la Chine, qui originellement était plutôt actif en Asie de l'Est et du Sud-Est. » Mais récemment, son champ d'action s'est élargi. « Mustang Panda a ajouté l'Europe à sa liste », précise Tartare. Et ce changement de cible s'accompagne d'une évolution de ses méthodes d'attaque.
« Ce qu'on a détecté, dans l'affaire dont nous allons parler, c'est que le malware est exécuté depuis des clés USB infectées », révèle le chercheur. Cette approche soulève d'emblée des questions sur la méthode d'infection initiale, qui vous allez le voir est plus osée que jamais.
11 octobre 2024 à 08h02
L'utilisation de clés USB infectées n'est pas sans rappeler certaines techniques d'espionnage traditionnelles. Mathieu Tartare nous partage ses hypothèses, issues de différents indices : « On en a plusieurs, mais on exclut par contre celle de l'accès physique direct. Une hypothèse intéressante, pour nous, est celle du ver USB. Et la troisième, ce sont les rassemblements sociaux, les conférences, les salons, les workshops, ce genre de choses. » Là, nous sommes sur un autre niveau d'organisation.
Les clés USB vérolées distribuées sur des salons et conférénces professionnels ?
L'hypothèse des événements professionnels comme vecteur de propagation est particulièrement préoccupante. Mathieu Tartare nous présente un scénario possible : « On peut imaginer qu'il y a les Assises du fret maritime, où une compagnie, peu importe son origine, distribue des goodies parmi lesquels on retrouverait une clé USB verrouillée. » Cette approche permettrait aux attaquants de cibler précisément leur secteur d'intérêt tout en bénéficiant de la confiance naturelle accordée lors de ces rassemblements.
Les méthodes d'infiltration potentielles sont multiples. Notre expert évoque plusieurs possibilités : « On pourrait imaginer une fausse entreprise montée exprès dans le fret maritime. » Il ajoute : « Moi, je pourrais inventer aujourd'hui une compagnie dans tel domaine, dépenser de l'argent pour un stand. Personne ne va venir vérifier que je suis vraiment une entreprise de ce domaine. » Cette facilité d'accès aux événements professionnels pourrait tout à fait avoir été exploitée par les cybercriminels.
« On a vu par le passé des attaques avec des clés USB qui étaient simplement laissées sur des parkings ou dans des restaurants se trouvant autour des lieux d'intérêt d'un salon ou d'une conférence. » On parle ici de clés qui peuvent, par exemple, porter le nom de l'événement, ce qui rassure et donne confiance. « On peut imaginer des clés vérolées qui ont été commandées sur AliExpress, ou d'une attaque sur la chaîne logistique. » L'individu ou le groupe n'est alors même pas obligé de rentrer dans l'événement.
« Là, on rentre presque dans la catégorie de l'accès physique. Si c'est ce cas-là qui est arrivé, cela veut dire que nous sommes en train d'avoir des agents qui ont voyagé pour aller déposer des clés USB. Ce qu'il faut retenir, c'est que ce n'est pas impossible », complète Mathieu.
La Chine serait derrière ces attaques, avec une stratégie bien définie
Alors d'où vient cette opération ? Mathieu Tartare et ESET ont leur petite idée : « On peut imaginer que c'est le gouvernement chinois qui a commandé une équipe pour être présente à un événement, distribuer des goodies avec des clés vérolées. » Bien que ce ne soit qu'une hypothèse ici encore, on ne peut s'empêcher de noter l'importance stratégique possible de ces attaques. « On pense quand même qu'il est très probable que ce soit à ce type d'événement que ces clés ont été retrouvées, et ce à plusieurs endroits ».
Les motivations de Mustang Panda semblent fortement liées aux ambitions économiques chinoises. « Mustang Panda a ajouté l'Europe à sa liste : c'est un groupe qui mène beaucoup d'opérations en lien avec la BRI, la Belt and Road Initiative, c'est-à-dire la nouvelle route de la soie, ou en lien avec le projet Made in China 2025 », commente Mathieu Tartare. On peut y voir ici des initiatives visant à renforcer la position de la Chine dans l'industrie maritime mondiale.
L'impact de ces attaques pourrait en tout cas être considérable. Bien que les noms des entreprises touchées ne soient pas divulgués, nous avons pu apprendre que de grosses compagnies spécialisées dans le fret maritime européen et mondial ont été visées. Les entreprises du secteur vont devoir renforcer leurs protocoles de sécurité, notamment lors des événements professionnels. La formation des employés à la reconnaissance des menaces potentielles et la mise en place de contrôles stricts sur l'utilisation des périphériques USB seront essentielles, et cela passera par la collaboration entre les acteurs du fret et les experts en cybersécurité.
10 octobre 2024 à 08h06