Les chercheurs en cybersécurité de Kaspersky ont publié le 8 août un rapport sur une campagne de cyberespionnage orchestrée par la Chine en janvier. Selon eux, il visait les industries militaires, les agences gouvernementales, les institutions publiques d’Europe de l’Est et d’Afghanistan.
La Chine au cœur des soupçons
Le groupe TA428, réputé proche de Pékin, est le principal suspect de cet acte de cyberespionnage. Kaspersky, tout en restant prudent, estime que de nombreux indices pointent dans cette direction : « Nous pouvons constater un chevauchement significatif des tactiques, techniques et procédures (TTP) avec l’activité du TA428 », notent les chercheurs. Les informations collectées se sont retrouvées sur des serveurs en Chine, des outils de piratage populaires auprès des cybercriminels chinois ont été identifiés, les heures des attaques correspondaient aux heures de bureau dans l’Empire du Milieu.
Surtout, sur six malwares utilisés, cinq sont réputés liés au TA428, le dernier est inconnu. L’un d’eux, PortDoor, a été développé par un groupe parrainé par l’État chinois. Kaspersky a identifié une version améliorée. Une version plus ancienne a été utilisée pour le cyberespionnage sur une société de défense russe concevant des sous-marins nucléaires en 2021.
TA428 est connu à juste titre pour cibler les organisations militaires et de recherche en Asie et en Europe de l’Est. Kaspersky considère qu’il est probable que la campagne détectée soit une extension d’une précédente qui a déjà été détectée.
Au total, une douzaine de victimes ont été identifiées en Biélorussie, en Russie, en Ukraine et en Afghanistan. Pour les auteurs du rapport, c’est loin d’être un coup de malchance, « les résultats de l’enquête indiquent qu’il s’agissait d’une attaque ciblée et, pourrait-on même dire, précise ».
En rouge, les États cibles de l’opération. Capture d’écran : Kaspersky
Pour atteindre leurs victimes, les industries militaires ou d’autres agences gouvernementales, les cybercriminels ont utilisé la tactique classique du phishing, un e-mail avec une pièce jointe malveillante, ici un document Word. Ce phishing a été particulièrement étendu.
Le cyberespionnage de TA428 pourrait continuer
Certains des messages envoyés contenaient des informations privilégiées très précises, voire des données censées être confidentielles, « Cela peut indiquer que les attaquants ont effectué un travail préparatoire en amont (ils ont peut-être obtenu ces informations lors d’attaques précédentes contre la même organisation ou ses employés) . , ou d’autres organisations ou individus associés à l’organisation des victimes) », a déclaré Kaspersky.
La volonté de cyberespionnage est incontestable. Pékin, fortement suspecté, avait déjà fait face à une accusation similaire en mai 2022. La proximité entre la Russie et la Chine ne constitue pas un obstacle à de telles opérations : l’espionnage existe aussi entre alliés, l’affaire Snowden, en 2013 le montre.
La Chine a la réputation d’être très agressive dans ce domaine. Kaspersky a conclu son rapport par un avertissement : « La série d’attaques que nous avons découvertes n’est pas la première de la campagne et, étant donné que les attaquants obtiennent un certain degré de succès, nous pensons qu’il est très probable qu’ils continueront à mener des attaques. à l’avenir ».