Les chercheurs en cybersécurité de Kaspersky ont publié le 8 août un rapport sur une campagne de cyberespionnage orchestrée depuis la Chine en janvier. Selon eux, il visait les industries militaires, les agences gouvernementales, les institutions publiques d’Europe de l’Est et d’Afghanistan.
La Chine au cœur des soupçons
Le groupe TA428, réputé proche de Pékin, est le principal suspect de cet acte de cyberespionnage. Kaspersky, restant prudent, estime que de nombreux indices pointent dans cette direction, « Nous pouvons voir des chevauchements significatifs dans les tactiques, techniques et procédures (TTP) avec l’activité TA428 », notent les chercheurs. Les informations collectées se sont retrouvées sur des serveurs en Chine, des outils de piratage prisés des cybercriminels chinois ont été identifiés, les temps d’attaque correspondent aux heures de bureau dans l’Empire du Milieu.
Principalement, sur six logiciels malveillants utilisés, cinq seraient liés au TA428, un dernier est inconnu. L’un d’eux, PortDoor, a été développé par un groupe parrainé par l’État chinois. Kaspersky a identifié une version améliorée. Une version plus ancienne a été utilisée pour le cyberespionnage sur une société de défense russe concevant des sous-marins nucléaires en 2021.
TA428 est justement célèbre pour cibler les organisations militaires et de recherche en Asie et en Europe de l’Est. Kaspersky pense qu’il est probable que la campagne détectée soit une extension d’une précédente déjà détectée.
Au total, une dizaine de victimes ont été recensées en Biélorussie, en Russie, en Ukraine et en Afghanistan. Pour les auteurs du rapport, c’est loin d’être un accident, « les résultats de l’enquête indiquent qu’il s’agissait d’une attaque ciblée et, pourrait-on même dire, précise ».
En rouge, les états visés par l’opération. Capture d’écran : Kaspersky
Pour atteindre leurs victimes, industries militaires ou autres agences gouvernementales, les cybercriminels ont utilisé la tactique classique du phishing, un e-mail avec une pièce jointe malveillante, voici un document Word. Ce phishing a été particulièrement étendu.
Le cyberespionnage de TA428 pourrait continuer
Certains des messages envoyés contenaient des informations internes très précises, voire des données censées être confidentielles, « Cela pourrait indiquer que les attaquants ont fait un travail préparatoire en amont (ils ont peut-être obtenu ces informations lors d’attaques précédentes contre la même organisation ou ses employés ) . , ou d’autres organisations ou individus associés à l’organisation victime) », a déclaré Kaspersky.
La volonté du cyberespionnage ne fait aucun doute. Pékin, fortement suspecté, avait déjà fait face à une accusation similaire en mai 2022. La proximité entre la Russie et la Chine ne constitue pas un obstacle à de telles opérations : l’espionnage existe aussi entre alliés, l’affaire Snowden, en 2013 le montre.
La Chine est réputée pour être très agressive dans ce domaine. Kaspersky a conclu son rapport par un avertissement : « La série d’attaques que nous avons découvertes n’est pas la première de la campagne et, étant donné que les attaquants obtiennent un certain succès, nous pensons qu’il est très probable qu’ils continueront à faire des attaques similaires dans le futur ».