Un cheval de Troie serait employé depuis plusieurs mois par un groupe de pirates informatiques au service du gouvernement chinois afin de récolter des données sensibles sur plusieurs États. Une dizaine d'attaques ont ainsi été recensées depuis le début de l'année 2021. C'est ce qu'affirme l'entreprise spécialisée dans la cybersécurité FireEye.
Baptisé APT31 par FireEye, en référence à l'acronyme anglophone « Advanced Persistent Threat » qualifiant ce type de menace, ce trojan aurait déjà impacté plusieurs pays. Pour l'heure, aucune communication officielle émanant de Pékin sur le sujet n'est connue.
La Chine à nouveau accusée de cyber-espionnage
Ce n'est pas la première fois que l'Empire du Milieu est mis sur le banc des accusés concernant une affaire de cyber-espionnage par l'emploi d'un groupe de hackers parrainé par Pékin. Plusieurs entreprises spécialisées dans la cybersécurité, telles que FireEye et Positive Technologies, pensent qu'un groupe de pirates informatiques chinois est derrière la dizaine d'attaques dernièrement perpétrées entre janvier et juillet 2021.
Également révélées par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) courant juillet, ces offensives ont directement ciblé des États tels que la Biélorussie, le Canada, les États-Unis, la Mongolie et, une première selon Positive Technologies, la Russie. Le biais employé, une méthode des plus classiques, est un cheval de Troie. Cette méthode est qualifiée par FireEye d'Advanced Persistent Threat (APT) dans la mesure où elle s'attaque directement à des structures publiques ou privées majeures et s'étale dans la durée, ici depuis près de six mois, grâce à un financement obtenu par au moins un État.
Un précédent déjà connu
Selon l'ANSSI, le mode opératoire est le suivant : le cheval de Troie « compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques ». Une fois la machine infectée, il est en mesure de collecter des informations, créer de nouveaux flux et processus voire un répertoire, rechercher des fichiers et même se supprimer.
APT31, ainsi est baptisé ce groupe de hackers par FireEye, est également connu sous le nom de Bronze Vinewood pour Microsoft, Judgment Panda pour CrowdStrike et Zirconium pour SecureWorks. Autant de noms de code pour un seul groupe d'individus qui, selon FireEye, a pour dessein de « récolter des renseignements pour octroyer un avantage politique, économique et militaire aux entreprises publiques et au gouvernement chinois ».
Les mêmes membres de ce groupe de cyberpirates avaient déjà utilisé Dropbox l'année dernière pour propager un cheval de Troie, nommé DropboxAES par Positive Technologies. Ainsi, « les mécanismes et techniques employés pour infiltrer le code d'attaque, obtenir la persistance et supprimer l'outil d'espionnage » sont quasi similaires selon la firme. Guillaume Poupard, le directeur général de l'ANSSI, n'avait d'ailleurs pas hésité le 23 juillet dernier à commenter les découvertes autour d'APT31, qu'il jugeait « bien plus graves » que les révélations autour de l'affaire Pegasus.
Sources : Softpedia News, Reuters , FireEye