Un groupe en ligne d’analystes de la cybersécurité se faisant appeler Intrusion Truth a révélé l’identité d’une quatrième opération de piratage parrainée par l’État chinois.
“Les groupes APT en Chine ont un fonctionnement commun : des pirates et des spécialistes contractuels, des sociétés-écrans et un officier du renseignement”, a déclaré l’équipe d’Intrusion Truth. “Nous savons que plusieurs régions de Chine ont chacune leur propre APT.”
APT est un acronyme utilisé dans le domaine de la cybersécurité. Il signifie Advanced Persistent Threat et est souvent utilisé pour décrire les groupes de piratage soutenus par les gouvernements.
Après avoir précédemment exposé des détails sur l’implication de Pékin dans APT3 (censé opérer hors de la province du Guangdong), APT10 (province de Tianjin) et APT17 (province de Jinan), Intrusion Truth a maintenant commencé à publier des détails sur l’arsenal cyberoffensif chinois dans l’État de Hainan, une île dans la mer de Chine méridionale.
publicité
APT40 opère à partir de la province de Hainan
Intrusion Truth n’a pas spécifiquement lié les sujets de ses récents articles de blog à un groupe particulier, mais les experts de FireEye et Kaspersky ont déclaré que les dernières révélations d’Intrusion Truth faisaient référence à un groupe de piratage chinois qu’ils suivaient auparavant sous le nom d’APT40.
Pour FireEye, APT40 est un groupe chinois de cyberespionnage qui est actif depuis 2013. Le groupe ciblait généralement des pays stratégiquement importants pour la Belt and Road Initiative de la Chine, en particulier ceux axés sur l’ingénierie et la défense.
Dans un article de blog publié la semaine dernière, Intrusion Truth a déclaré avoir identifié un réseau de 13 entreprises en activité qui servent de façade aux activités APT de Pékin.
Ces entreprises utilisent des coordonnées qui se chevauchent, partagent les emplacements des bureaux et n’ont aucune présence en ligne, sauf pour recruter des experts en cybersécurité aux compétences de sécurité offensives, en utilisant des offres d’emploi presque identiques.
“En regardant au-delà des coordonnées liées, certaines des compétences recherchées par ces publicités se situent à l’extrémité agressive du spectre”, a déclaré l’équipe Intrusion Truth.
“Alors que les entreprises soulignent leur engagement en faveur de la sécurité de l’information et de la cyberdéfense, les offres d’emploi techniques qu’elles ont placées recherchent des compétences qui seraient plus susceptibles de convenir à des « red team » et de mener des cyberattaques”, poursuivent-ils.
Recrutement géré par un professeur local
Dans un deuxième article de blog publié au cours du week-end, Intrusion Truth a déclaré qu’il était en mesure de lier certaines de ces sociétés à un professeur du Département de la sécurité de l’information de l’Université de Hainan.
En fait, l’une des 13 sociétés-écrans qu’ils ont identifiées était basée à la bibliothèque de l’Université.
Ce professeur était également un ancien membre de l’armée chinoise, a déclaré Intrusion Truth.
“[Le nom caviardé par ZDNet] semblait gérer un concours de sécurité réseau à l’université et aurait recherché de nouvelles façons de déchiffrer les mots de passe, offrant de grosses sommes d’argent à ceux en mesure de le faire”, ont déclaré les chercheurs anonymes.
Intrusion Truth a de très bons antécédents à son actif. Suite à leurs précédentes publications sur les groupes APT chinois, les autorités américaines ont diffusé des actes d’accusation officiels dans deux cas, à savoir APT3 et APT10.
Leur troisième publication sur APT17 a été publiée en juillet 2019, et les autorités américaines n’ont peut-être pas encore eu suffisamment de temps pour rassembler les preuves nécessaires à un acte d’accusation.
Source : ZDNet.com