Des hackers chinois se servent du G20 pour espionner les grands chefs européens
Régine

 

En août, alors que les membres du G20 préparaient à se rencontrer pour échanger précisément sur la manière de répondre aux attaques chimiques de Bashar al Assad en Syrie, un mystérieux groupe de hackers chinois est parvenu à espionner les ordinateurs de cinq ministres européens des affaires étrangères, utilisant le sommet du G20 comme appât pour les pirater.

L’opération de cyber-espionnage semblait très ciblée, utilisant des courriels d’hameçonnage (phishing) comportant des pièces jointes malveillantes dont le sujet se référait à la crise syrienne, tels que « US_military_options_in_Syria », d’après FireEye, l’agence de sécurité informatique ayant découvert l’opération.

L’opération sur le thème de la Syrie, surnommée directement par les hackers « moviestar », faisait partie d’une vaste opération d’espionnage remontant au moins à 2010. Les chercheurs de FireEye surnomment le groupe de hackers « Ke3chang » et prétendent qu’il est toujours actif. Les chercheurs vont même jusqu’à affirmer que les hackers sont chinois, bien qu’il soit difficile d’établir s’ils ont des liens avec le gouvernement chinois.Hackers chinois G20

Cette nouvelle cyber opération souligne une fois de plus combien les hackers chinois sont doués pour l’espionnage et le piratage de cibles étrangères.

L’an passé, Mandiant, une autre agence de sécurité, a démasqué les hackers auteurs de certaines des plus importantes cyberattaques et opérations d’espionnage contre les États-Unis, pointant du doigt un groupe secret au sein de l’armée chinoise.

Contrairement à ces attaques généralisées, et bien qu’actif depuis 2010, ce nouveau groupe de pirates informatiques s’est avéré relativement calme et limité dans ses opérations.

« [Les hackers] semblaient cibler spécifiquement les ministères des affaires étrangères » a affirmé Nart Villeneuve, le principal chercheur FireEye dans le cadre de la présente enquête, au journal Mashable. « Le nombre d’attaques que nous avons pu répertorier est relativement faible par rapport à beaucoup d’autres opérations. Pour moi, cela signifie que les hackers répondent à une cible très précise. »

Dans cette affaire, leurs cibles étaient les ministères des affaires étrangères de la République tchèque, du Portugal, de la Bulgarie, de la Lettonie et de la Hongrie, selon le New York Times. Interrogé sur la liste, Villeneuve a refusé de la confirmer, déclarant que FireEye ne dévoilera pas d’informations permettant d’identifier les cibles, lesquelles ont été notifiées en privé.

À ce stade, il est impossible de savoir pourquoi les hackers visaient une cible si restreinte.

Adam Segal, un collègue au Conseil des relations extérieures et expert en matière de cybersécurité & Chine, a confié au journal Mashable que lors de précédentes opérations chinoises de piratage, les cibles se comptaient par centaines, ce qui rend cette nouvelle attaque singulière.

« Si elles sont plus sélectives » affirme Segal, cela « peut refléter soit un manque d’intérêt, soit un plus grand degré de précision sur ce qu’ils recherchaient. »

Villeneuve suivait les activités du groupe depuis l’an passé, mais la découverte a eu lieu en août, lorsque les hackers ont commis une erreur de configuration de l’interface web qu’ils utilisaient pour naviguer à l’intérieur des réseaux compromis. Durant environ une semaine, les chercheurs de l’agence ont pu observer les mouvements des hackers sur un de leurs serveurs.

Les chercheurs ont constaté que, lorsque les cibles ouvraient la pièce jointe, un logiciel malveillant installait ce que FireEye définit comme une « porte de service basique typique » dotant les hackers d’une large liberté.

« Ils avaient le plein contrôle sur un système compromis » affirme Villeneuve.

Ce dont les chercheurs ont été témoins sont des tentatives très prudentes d’obtenir un meilleur accès et de se déplacer d’un ordinateur à l’autre, mais ils n’ont constaté aucun vol de données avant de perdre l’accès aux commandes et contrôles de serveurs des hackers. Villeneuve a déclaré qu’à ce stade, les hackers se préparaient probablement au démarrage du vol de données.

Lors d’une précédente opération, distincte, les hackers ont eu recours à des appâts moins axés sur les affaires pour accéder aux ordinateurs de leurs victimes –  une pièce jointe d’e-mail promettant des photos nues de l’épouse de Nicolas Sarkozy, Carla Bruni. Dans une autre encore, ils ont falsifié l’envoi d’un rapport sur les menaces de sécurité appartenant à un célèbre fournisseur de systèmes de sécurité informatique.

Article original en anglais: Chinese Hackers Used G20 Summit to Spy on European Leaders

Publié le 11 décembre 2013 par Lorenzo Franceschi Bicchierai, Mashable
Traduction en français : Régine Allézy


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Solve : *
23 + 7 =