Une campagne de cyberespionnage chinoise cible les fournisseurs de services IT dans le monde
Afin d'atteindre les réseaux de leurs clients
Le 2017-04-05 12:41:45, par Michael Guilloux, Chroniqueur Actualités
Des chercheurs en sécurité du centre national britannique de cybersécurité (NCSC), de BAE Systems et de PwC viennent de communiquer au sujet d’une campagne de cyberespionnage ciblant les fournisseurs de services IT afin d’atteindre les réseaux de leurs clients.
Depuis au moins l’année dernière, de nombreux fournisseurs de services IT auraient été infectés, mais les chercheurs affirment qu’il est probable que cette opération baptisée Cloud Hopper ait déjà été en cours en 2014. Les attaquants commencent par mener des recherches sur les cibles ; suffisamment de recherches pour mettre en œuvre une campagne de phishing dans laquelle ils auront plus de chances d’inciter un employé à ouvrir un document contenant du code malveillant. Une fois sur la machine de leur victime, les attaquants vont déployer des logiciels malveillants pour infecter le réseau de l’employeur de la victime, c’est-à-dire, le fournisseur de services IT.
Cibler les fournisseurs de services informatiques est un choix très stratégique pour les attaquants. De nombreuses organisations, quelle que soit leur taille, s’appuient en effet sur ce genre de services pour la gestion d’une partie de leur IT. Cela permet donc à ces fournisseurs d’avoir un certain accès aux réseaux des entreprises. Les attaquants peuvent donc, à partir du fournisseur, atteindre les réseaux de nombreuses organisations. Les fournisseurs de services IT stockent également des informations utiles sur leurs clients, ce qui peut intéresser encore les attaquants. Le groupe de pirates derrière cette campagne de cyberespionnage a ainsi pu voler une grande quantité de données sensibles, allant des données personnelles à la propriété intellectuelle.
« Le groupe de pirates a pu accéder à la propriété intellectuelle et aux données sensibles de ces fournisseurs de services IT et de leurs clients dans le monde », a écrit le Cyber Threat Intelligence de PwC. « Cette approche indirecte consistant à atteindre de nombreuses cibles à partir d’une seule démontre un nouveau niveau de maturité dans l'espionnage cybernétique - il est donc plus important que jamais d'avoir une vue d'ensemble de toutes les menaces auxquelles votre organisation pourrait être exposée, directement ou par l'intermédiaire de votre chaîne d'approvisionnement. »
D’après les chercheurs, l’acteur malveillant derrière cette campagne serait le groupe de pirates largement connu dans la communauté de la sécurité sous le nom APT10 ; un groupe qui est « très susceptible » de se baser en Chine. Le rapport indique par exemple, en plus de certains détails techniques, que les heures d’opération des attaquants correspondaient aux horaires de travail en Chine, soit de 8 h à 19 h, heure locale. En outre, les entreprises ciblées étaient « étroitement en ligne avec les intérêts stratégiques chinois ».
Au moins 15 pays ont été ciblés dans cette campagne de cyberespionnage, y compris les États-Unis, le Canada, le Royaume-Uni, la France et la Suisse. L’ampleur réelle de cette opération n’est pas encore connue, mais les chercheurs estiment qu’elle pourrait être beaucoup plus grande que ce qu’ils ont découvert.
« La raison pour laquelle nous avons rendu cela public est que nous avons vu tellement de fournisseurs de services informatiques et d'autres entreprises compromises dans cette campagne, mais nous ne savons pas quelle est l’ampleur réelle », affirment les chercheurs. « Il s'agit d'une campagne mondiale susceptible d'affecter un large éventail de pays, alors les organisations du monde entier devraient travailler avec leurs équipes de sécurité et leurs fournisseurs pour vérifier sur leurs réseaux des indicateurs de compromis et s'assurer qu'ils se protègent en conséquence ». Un document décrivant les indicateurs clés de compromis à vérifier a donc été publié à cette fin.
Sources : PwC, Operation Cloud Hopper (pdf), Telegraph
Et vous ?
Voir aussi :
Depuis au moins l’année dernière, de nombreux fournisseurs de services IT auraient été infectés, mais les chercheurs affirment qu’il est probable que cette opération baptisée Cloud Hopper ait déjà été en cours en 2014. Les attaquants commencent par mener des recherches sur les cibles ; suffisamment de recherches pour mettre en œuvre une campagne de phishing dans laquelle ils auront plus de chances d’inciter un employé à ouvrir un document contenant du code malveillant. Une fois sur la machine de leur victime, les attaquants vont déployer des logiciels malveillants pour infecter le réseau de l’employeur de la victime, c’est-à-dire, le fournisseur de services IT.
Cibler les fournisseurs de services informatiques est un choix très stratégique pour les attaquants. De nombreuses organisations, quelle que soit leur taille, s’appuient en effet sur ce genre de services pour la gestion d’une partie de leur IT. Cela permet donc à ces fournisseurs d’avoir un certain accès aux réseaux des entreprises. Les attaquants peuvent donc, à partir du fournisseur, atteindre les réseaux de nombreuses organisations. Les fournisseurs de services IT stockent également des informations utiles sur leurs clients, ce qui peut intéresser encore les attaquants. Le groupe de pirates derrière cette campagne de cyberespionnage a ainsi pu voler une grande quantité de données sensibles, allant des données personnelles à la propriété intellectuelle.
« Le groupe de pirates a pu accéder à la propriété intellectuelle et aux données sensibles de ces fournisseurs de services IT et de leurs clients dans le monde », a écrit le Cyber Threat Intelligence de PwC. « Cette approche indirecte consistant à atteindre de nombreuses cibles à partir d’une seule démontre un nouveau niveau de maturité dans l'espionnage cybernétique - il est donc plus important que jamais d'avoir une vue d'ensemble de toutes les menaces auxquelles votre organisation pourrait être exposée, directement ou par l'intermédiaire de votre chaîne d'approvisionnement. »
D’après les chercheurs, l’acteur malveillant derrière cette campagne serait le groupe de pirates largement connu dans la communauté de la sécurité sous le nom APT10 ; un groupe qui est « très susceptible » de se baser en Chine. Le rapport indique par exemple, en plus de certains détails techniques, que les heures d’opération des attaquants correspondaient aux horaires de travail en Chine, soit de 8 h à 19 h, heure locale. En outre, les entreprises ciblées étaient « étroitement en ligne avec les intérêts stratégiques chinois ».
Au moins 15 pays ont été ciblés dans cette campagne de cyberespionnage, y compris les États-Unis, le Canada, le Royaume-Uni, la France et la Suisse. L’ampleur réelle de cette opération n’est pas encore connue, mais les chercheurs estiment qu’elle pourrait être beaucoup plus grande que ce qu’ils ont découvert.
« La raison pour laquelle nous avons rendu cela public est que nous avons vu tellement de fournisseurs de services informatiques et d'autres entreprises compromises dans cette campagne, mais nous ne savons pas quelle est l’ampleur réelle », affirment les chercheurs. « Il s'agit d'une campagne mondiale susceptible d'affecter un large éventail de pays, alors les organisations du monde entier devraient travailler avec leurs équipes de sécurité et leurs fournisseurs pour vérifier sur leurs réseaux des indicateurs de compromis et s'assurer qu'ils se protègent en conséquence ». Un document décrivant les indicateurs clés de compromis à vérifier a donc été publié à cette fin.
Sources : PwC, Operation Cloud Hopper (pdf), Telegraph
Et vous ?
Voir aussi :
-
NSKisEn attente de confirmation mailJe suis toujours admiratif de voir que des mecs disent connaître l'origine du cyberespionnage!!!C'est vrai que ce genre d'arguments est "béton"... Il est connu de tous que les hackers travaillent uniquement pendant les heures de bureau!!!!D’après les chercheurs, l’acteur malveillant derrière cette campagne serait le groupe de pirates largement connu dans la communauté de la sécurité sous le nom APT10 ; un groupe qui est « très susceptible » de se baser en Chine. Le rapport indique par exemple, en plus de certains détails techniques, que les heures d’opération des attaquants correspondaient aux horaires de travail en Chine, soit de 8 h à 19 h, heure locale. En outre, les entreprises ciblées étaient « étroitement en ligne avec les intérêts stratégiques chinois ».le 05/04/2017 à 14:41
-
arondMembre expérimentéJe dirais même plus, il est de notoriété planétaire que les agences gouvernementales US n'ont pas du tout de quoi brouiller les pistes (comme par exemple de modifier le texte dans leur programme avec un algo a eux
) le 05/04/2017 à 14:48 -
emutrampMembre actifUne autre possibilité serait peut-être d’envisager Marble comme responsable ?le 06/04/2017 à 16:35