Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé APT31. Afficher tous les messages
Aucun message portant le libellé APT31. Afficher tous les messages

vendredi 1 octobre 2021

Un nouveau malware chinois suspecté d'être au cœur d'une campagne de cyber-espionnage

 

 

Un nouveau malware chinois suspecté d'être au cœur d'une campagne de cyber-espionnage

Par:Thibaut Keutchayan
16 août 2021 à 17h10

Un cheval de Troie serait employé depuis plusieurs mois par un groupe de pirates informatiques au service du gouvernement chinois afin de récolter des données sensibles sur plusieurs États. Une dizaine d'attaques ont ainsi été recensées depuis le début de l'année 2021. C'est ce qu'affirme l'entreprise spécialisée dans la cybersécurité FireEye.

Baptisé APT31 par FireEye, en référence à l'acronyme anglophone « Advanced Persistent Threat » qualifiant ce type de menace, ce trojan aurait déjà impacté plusieurs pays. Pour l'heure, aucune communication officielle émanant de Pékin sur le sujet n'est connue.

La Chine à nouveau accusée de cyber-espionnage

Ce n'est pas la première fois que l'Empire du Milieu est mis sur le banc des accusés concernant une affaire de cyber-espionnage par l'emploi d'un groupe de hackers parrainé par Pékin. Plusieurs entreprises spécialisées dans la cybersécurité, telles que FireEye et Positive Technologies, pensent qu'un groupe de pirates informatiques chinois est derrière la dizaine d'attaques dernièrement perpétrées entre janvier et juillet 2021.

Également révélées par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) courant juillet, ces offensives ont directement ciblé des États tels que la Biélorussie, le Canada, les États-Unis, la Mongolie et, une première selon Positive Technologies, la Russie. Le biais employé, une méthode des plus classiques, est un cheval de Troie. Cette méthode est qualifiée par FireEye d'Advanced Persistent Threat (APT) dans la mesure où elle s'attaque directement à des structures publiques ou privées majeures et s'étale dans la durée, ici depuis près de six mois, grâce à un financement obtenu par au moins un État.

Un précédent déjà connu

Selon l'ANSSI, le mode opératoire est le suivant : le cheval de Troie « compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques ». Une fois la machine infectée, il est en mesure de collecter des informations, créer de nouveaux flux et processus voire un répertoire, rechercher des fichiers et même se supprimer.

APT31, ainsi est baptisé ce groupe de hackers par FireEye, est également connu sous le nom de Bronze Vinewood pour Microsoft, Judgment Panda pour CrowdStrike et Zirconium pour SecureWorks. Autant de noms de code pour un seul groupe d'individus qui, selon FireEye, a pour dessein de « récolter des renseignements pour octroyer un avantage politique, économique et militaire aux entreprises publiques et au gouvernement chinois ».

Guillaume Poupard ANSSI © © DR
De Pegasus à APT31, il n'y a qu'un pas pour le patron de l'ANSSI. ©DR

Les mêmes membres de ce groupe de cyberpirates avaient déjà utilisé Dropbox l'année dernière pour propager un cheval de Troie, nommé DropboxAES par Positive Technologies. Ainsi, « les mécanismes et techniques employés pour infiltrer le code d'attaque, obtenir la persistance et supprimer l'outil d'espionnage » sont quasi similaires selon la firme. Guillaume Poupard, le directeur général de l'ANSSI, n'avait d'ailleurs pas hésité le 23 juillet dernier à commenter les découvertes autour d'APT31, qu'il jugeait « bien plus graves » que les révélations autour de l'affaire Pegasus.

vendredi 17 septembre 2021

Cyberattaque : la France est dans le viseur de hackers chinois

 

 

Cyberattaque : la France est dans le viseur de hackers chinois

Par: Yannick Smaldore
22 juillet 2021 à 16h02
19

Hier, le patron de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a attribué au groupe de hackers ATP31, proche du gouvernement chinois, une série de cyberattaques coordonnées sur un ensemble d’entités françaises. La campagne de compromission dont est victime l’Hexagone est jugée « particulièrement virulente ».

Si ce n’est sans doute pas la première fois que la France est victime de pirates pilotés par Pékin, c’est la toute première fois que l’ANSSI évoque directement cet agresseur.

Paris hausse le ton face à Pékin

Il est assez inédit de voir une puissance victime de cyberattaque nommer explicitement son agresseur, tout particulièrement quand il s’agit d’une puissance étrangère ! Il est en effet extrêmement difficile de prouver sans l’ombre d’un doute la provenance exacte d’une cyberattaque. Et la moindre erreur pourrait coûter très cher sur le plan diplomatique.

À bien des égards, la « cyberguerre » obéit aux mêmes principes que le renseignement ou, dans une moindre mesure, la guerre sous-marine : chacun la pratique dans l’ombre, chacun combat son adversaire, sans faire de victime directe et sans afficher ses opposants. Car dans ce milieu, dévoiler les capacités de cyberattaques d’un adversaire revient aussi à dévoiler ses propres capacités (stratégiques) de cyberdéfense.

Jusqu’à présent, seuls les États-Unis, sûrs de leurs capacités, n’hésitaient pas à afficher publiquement les responsables politiques, souvent russes ou chinois, qui se cachent derrière les attaques informatiques dont ils sont victimes. En adoptant une attitude similaire dans la gestion de l’attaque en cours, les autorités françaises, et tout particulièrement l’ANSSI, tapent du poing sur la table.

Une attaque qui dure depuis des mois

Il faut dire que l’attaque menée par le groupe de pirates identifié comme ATP31 semble durer depuis le début de l’année 2021. Dans un poste sur le réseau social LinkedIn , le directeur général de l’ANSSI Guillaume Poupard évoque les investigations menées par ses services, qui montrent que « ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques ».

Des enquêtes sont en cours afin de voir si ces actions offensives ont bel et bien compromis les infrastructures attaquées. Pour le directeur de l’ANSSI, la situation pourrait être au final bien plus grave que l’affaire du logiciel espion israélien Pegasus, récemment dévoilée par un consortium de médias.

Pour l’heure, Pékin ne semble pas spécialement réagir. Il faut dire que l’accusation, bien qu’inédite en France, s’est faite de manière indirecte, via le directeur de l’ANSSI sur un réseau social. De surcroît, celle-ci vise ATP31, et non pas ses commanditaires. Toutefois, le sous-entendu est on ne peut plus clair. Peut-être que cette sortie de Guillaume Poupard aura pour effet de pousser le ministère des Affaires étrangères à agir de manière plus directe vis-à-vis de Pékin.

Mais il n'est pas dit que le locataire du Quai d'Orsay voit forcément cela d'un bon œil. Après tout, l'un des crédos de Jean-Yves le Drian a toujours été « discrétion, et permanence de l'action ». Affaire à suivre donc.

Source. : Le Monde