Une guerre attire toujours son lot d’opportunistes. Selon plusieurs sociétés spécialisées dans la cybersécurité, des groupes de hackers chinois profiteraient de l’état de panique causé par l’invasion de la Russie pour récupérer des informations sensibles.
L’entreprise slovaque ESET Research a repéré un malware (logiciel malveillant) propagé à travers une vaste campagne de phishing exploitant la guerre entre les deux pays et mené par le groupe chinois Muastang Panda.
Dans un rapport publié le 23 mars, les chercheurs d’ESET attribuent cette opération « avec une grande confiance » aux hackers de l’Empire du Milieu en se basant « sur la similitude des codes et de nombreux points communs dans les tactiques, techniques et procédures » avec de précédentes attaques.
Les pirates proposaient de télécharger des documents officiels
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Les mails avaient pour objet des informations sur le conflit et ciblaient principalement des entités gouvernementales et des ONG. Les dossiers à télécharger étaient par exemple nommés « situation aux frontières de l’UE ».
Le fichier était en réalité un cheval de Troie qui inclut une porte dérobée pour le contrôle administratif de l’ordinateur. ESET Research a baptisé le malware « Hodur » car il serait similaire à un autre variant appelé « Thor » détecté par Palo Alto Networks en 2021. Les spécialistes s’inspirent de la mythologie nordique, Hodur étant le demi-frère aveugle du dieu Thor.
« D’autres leurres de phishing mentionnent une mise à jour des restrictions de voyage lié au COVID-19, une carte des aides régionales approuvée pour la Grèce et un règlement du Parlement et de la Commission européenne » a déclaré ESET Research. « Un des leurres est un vrai document, disponible sur le site du Conseil européen. Cela montre que le groupe à l’origine de cette campagne suit l’actualité et est capable d’y réagir avec succès et rapidité », indique Alexandre Côté Cyr, auteur du rapport.
Parmi les pays ciblés, on trouve la Grèce, Chypre, la Russie, la Mongolie, le Viet Nam, Myanmar, le Soudan du Sud et l’Afrique du Sud.
Une première attaque chinoise depuis le début de l’invasion
Scarab, un autre groupe de cyber pirates basés en Chine aurait lui aussi profité de la guerre et vise cette fois des cibles ukrainiennes. Leur activité a été repérée par la société Sentinal Labs qui a détaillé le mode opératoire dans un rapport publié ce 24 mars. L’analyse des métadonnées associées aux documents-leurres suggère que les auteurs utilisent le système d’exploitation Windows en langue chinoise.
Cette fois, les hackers ont imité la police nationale ukrainienne, partageant un mail destiné à préserver des preuves vidéos de crimes militaires russes. Une fois le fichier téléchargé, le malware pouvait implanter une porte dérobée dans le système. Dans un communiqué, la cyberpolice ukrainienne indique aussi avoir décelé ce groupe de hacker.
Sentinel Labs ajoute que c’est « le premier exemple public d’un acteur chinois ciblant l’Ukraine depuis le début de l’invasion. Bien qu’il y ait eu une augmentation marquée des attaques signalées contre l’Ukraine au cours de la semaine dernière, ces exactions et toutes les précédentes proviennent d’acteurs menaçants russes. » Actif depuis au moins 2012, ce groupe chinois a été repéré à plusieurs reprises, ciblant des individus aux États-Unis et en Russie.
La Chine ne fournit pas pour le moment de soutien logistique ou financier à la Russie. Les deux groupes cités ont été reliés à l’Empire du Milieu par de nombreux experts et pour l’instant personne ne peut prouver s’ils agissent indépendamment ou sous la tutelle de Pékin.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !