Selon les rapports de The Hacker News, une vaste opération de cyberespionnage a visé au moins 5 grandes sociétés de télécommunications. Les pirates agissaient au nom de l’État chinois. Trois groupes de pirates chinois seraient responsables de ces attaques. Des experts en cybersécurité ont révélé que des données de localisation figurent parmi les fichiers dérobés.
Une série d’attaques depuis 4 ans
Depuis 2017, des pirates cherchent à obtenir et à maintenir un accès continu aux fournisseurs de télécommunication, via une opération menée dans toute l’Asie du Sud-Est. Celle-ci a pour objectif de faciliter le cyberespionnage, en collectant des données sensibles ou compromettantes. L’opération vise surtout l’obtention des composants-clés du réseau, dont des contrôleurs de domaine et des serveurs web, par exemple.
En mars dernier, les hackers auraient exploité les failles de sécurité des serveurs Microsoft Exchange. Suite à une série d’attaques, une alliance formée par des pays de l’Union européenne, les États-Unis ainsi que l’OTAN confirme que c’est la Chine qui est responsable de ces actes de piratage.
Trois groupes d’activités identifiés
Cybereason Nocturnus a mené une vaste enquête sur les diverses intrusions opérées dans le secteur des télécommunications en Asie du Sud-Est. L’investigation a conduit à l’identification de trois groupes d’activités dans cette région. Ces derniers ont montré des liens importants avec des hackers connus qui sont soupçonnés d’avoir réalisé ces actions dans l’intérêt de la Chine. Appelées « DeadRinger », les campagnes collectives de piratage ont été reliées à ces trois acteurs chinois : Gallium, Naikon et TG-3390.
À titre d’information, TG-3390 est le premier à être entré en lice en 2017. Les deux autres groupes d’activités opèrent depuis fin 2020. Par contre, leurs opérations d’espionnage se sont poursuivies jusqu’à la moitié de 2021. Il faut savoir que Naikon s’est servi des failles chez les opérateurs de télécommunication, notamment d’une porte dérobée appelée « Nebulae ». Cette dernière offre aux pirates un accès à distance à un ordinateur. Ce groupe a aussi utilisé un key logger. Il s’agit d’un logiciel malveillant qui détecte et mémorise les frappes sur le clavier d’un ordinateur.
Des attaques de plus en plus innovantes
En analysant la capacité à l’anticipation des pirates, les experts en cybersécurité ont expliqué que les attaquants ajustent leurs actions à chaque phase de l’opération. En effet, ils savent s’adapter aux efforts déployés pour entraver les attaques. Concrètement, ces groupes d’activités ont changé d’infrastructures, d’outils et de techniques pour pouvoir continuer leur forfait. Ils essaient ainsi de devenir plus furtifs.
Des pirates agissants ensemble
Une analyse sur les concordances chronologiques entre les trois acteurs a prouvé que ces pirates agissaient ensemble. Selon les experts en cybersécurité, ce procédé a permis d’affirmer que des tâches spécifiques ont été attribuées en parallèle à chaque groupe, en surveillant les entreprises ciblées. L’opération s’est faite sous la direction d’un organisme de coordination centralisé et aligné sur les intérêts de l’État chinois.
Par contre, les identités des sociétés de télécommunications qui ont été les victimes de ces tentatives de cyberespionnage n’ont pas été révélées pour le moment.