Des chercheurs en cybersécurité ont découvert un logiciel malveillant difficilement détectable dans le système informatique de plusieurs dizaines d’entreprises. Ce malware a été installé par un groupe chinois déjà connu des autorités.

Un groupe de hackers chinois espionne des entreprises stratégiques dans les secteurs de la technologie et de la chimie en Europe, en Asie et sur le continent nord-américain depuis 2019. Actifs depuis plus de dix ans, ces pirates informatiques connus sous le nom de Winnti (ou encore APT41, Barium, Blackfly) sont soupçonnés de travailler pour le compte de l’État chinois. Ils sont spécialisés dans le cyber espionnage et le vol d’informations.

Le groupe a été détecté par l’entreprise Cybereason qui publie un rapport ce 4 mai 2022, détaillant le mode opératoire de la cyber attaque. Les méthodes employées pour infecter les ordinateurs des victimes sont « très sophistiquées et rarement vues par le passé », indiquent les chercheurs.

Le but de cette campagne est avant tout de récupérer les secrets industriels des entreprises visées. Baptisée « Opération CuckooBees », l’attaque a commencé par l’exploitation de vulnérabilités dans le logiciel de planification des ressources d’entreprise. Certains bugs étaient déjà connus, mais d’autres sont des vulnérabilités zero-day (découvertes pour la première fois).

Une fois l’accès au système d’entreprises obtenu, un shell web (script malveillant) est introduit dans les interfaces attaquées afin d’espionner et contrôler la session sans que l’utilisateur ne s’en rende compte. « Les attaquants ont choisi de diviser la chaîne d’infection en plusieurs phases interdépendantes, où chaque étape s’appuie sur la précédente pour s’exécuter correctement. Ce processus a rendu l’infiltration indétectable » nous précise Asaf Dahan, directeur de recherche sur les menaces chez Cybereason. Les chercheurs ont analysé le code du malware et l’ont comparé à de précédentes campagnes pour le relier à Winnti. Les entreprises touchées par le logiciel malveillant ont voulu rester anonymes.

Des attaques en lien avec les stratégies industrielles chinoises

« L’impact économique du vol de propriété intellectuelle est difficile à déterminer, mais on sait qu’il se chiffre à plusieurs milliards » déclare l’expert en cybersécurité. Ces informations intéressent de nombreuses entreprises et la frontière entre le hacking et l’espionnage national est floue. Les attaques du groupe Winnti répondent aux recherches stratégiques menées par Beijing dans le secteur technologique.

Des membres du groupe de cyberespionnage Winnti. // Source : FBI
Des membres de Winnti recherchés par le FBI. Source : FBI

Certains hackers sont d’ailleurs connus et recherchés par les autorités américaines. Il y a deux ans, ils étaient responsables du vol de code source de jeux en ligne, de certificats numériques signés par les éditeurs de plus de 35 sociétés. En mai 2021, les États-Unis ont lancé un avis de recherche contre quatre ressortissants chinois pour leur implication dans une campagne d’espionnage sur les recherches des les maladies infectieuses telles que Ebola et le SIDA.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !