Rechercher

Un vaste réseau de cyberespionnage soutenu par la Chine, découvert par Cybereason

La firme israélo-américaine affirme que le groupe est "l'un des plus prolifiques et des plus ingénieux" dans le paysage des cybermenaces, et qu'il a ciblé de nombreuses entreprises

Ricky Ben-David est journaliste au Times of Israël

Une photo illustrative d'une personne tapant sur un clavier dans le cadre d'une cyber brèche. (Crédit : Techa Tungateja/iStock/Getty Images)
Une photo illustrative d'une personne tapant sur un clavier dans le cadre d'une cyber brèche. (Crédit : Techa Tungateja/iStock/Getty Images)

Une société de cybersécurité israélo-américaine a déclaré lundi avoir découvert une opération de cyberpiratage « gigantesque », qui serait dirigée par un groupe de pirates informatiques vraisemblablement soutenu par la Chine, et qui se serait livrée à des vols de propriété intellectuelle (PI) et à de l’espionnage industriel à travers trois continents.

Cybereason, dont le siège est à Boston et qui possède des bureaux à Tel Aviv, Londres et Tokyo, a déclaré que le groupe utilisait des méthodes sophistiquées et travaillait de manière furtive pour cibler des entreprises technologiques et manufacturières aux États-Unis, en Europe et en Asie et leur voler des actifs de propriété intellectuelle.

Assaf Dahan, directeur principal et responsable de la recherche sur les menaces chez Cybereason, a déclaré au Times of Israel que le réseau, connu sous le nom de Winnti Group (et également suivi sous les noms d’APT41, Blackfly et Barium dans les cercles de cybersécurité) était « l’un des groupes les plus prolifiques et les plus ingénieux dans le paysage des cybermenaces » et qu’il était connu pour opérer au nom d’intérêts étatiques chinois.

Le groupe est actif depuis au moins 2010. Certains membres connus du groupe ont été inculpés en 2020 par le ministère américain de la Justice pour des crimes informatiques contre une centaine d’entreprises aux États-Unis et dans d’autres pays, notamment des sociétés de développement de logiciels, des fabricants de matériel informatique, des fournisseurs de télécommunications et des sociétés de jeux.

Dahan a déclaré que les recherches de Cybereason ont révélé que le groupe Winnti avait commis « des vols de propriété intellectuelle et des actes de cyberespionnage à grande échelle » depuis au moins 2019, et peut-être même avant. Cybereason a commencé ses recherches sur les opérations d’espionnage industriel du groupe l’année dernière, après avoir été alerté par l’une des entreprises ciblées que quelque chose de « louche » se tramait dans son réseau, a déclaré Dahan, qui est basé à Londres.

Il a expliqué que les chercheurs de Cybereason avaient pu observer en temps réel les efforts déployés par le groupe pour obtenir des données sensibles telles que des détails sur les brevets et les produits, des codes sources, des plans techniques et des instructions de fabrication.

Les cofondateurs de Cybereason, de gauche à droite : Yonatan Striem Amit, Lior Div et Yossi Naar. (Crédit : Autorisation Cybereason)

« Leur niveau de furtivité et de sophistication était très élevé », a déclaré Dahan, décrivant le modus operandi du groupe pour cette opération de piratage spécifique comme un « château de cartes » composé de plusieurs éléments interconnectés et interdépendants.

« Il s’agit d’un processus de déploiement complexe où tous les composants doivent fonctionner ensemble dans un certain ordre. Il est très difficile à détecter car chaque composant à lui seul ne présente pas de caractère malveillant. C’est un moyen intelligent d’échapper à la détection et cela a fonctionné – ils ont travaillé sans être détectés pendant trois ans », a déclaré M. Dahan.

Au cours de l’analyse, Cybereason a pu découvrir une « gamme de logiciels malveillants » jusqu’alors non documentée, notamment une nouvelle version du logiciel malveillant Winnti appelée WINNKIT, que M. Dahan décrit comme un « cyber-outil très avancé d’origine chinoise, probablement issu du renseignement militaire ».

Le logiciel malveillant a permis aux pirates de mener « des opérations de reconnaissance et de vidage des informations d’identification [pour récupérer plusieurs mots de passe et informations de connexion], ce qui leur a permis de se déplacer latéralement dans le réseau », selon l’enquête de Cybereason, que la société a baptisée « Operation CuckooBees ». Le piratage « a permis aux attaquants de voler des informations très sensibles sur des serveurs et des points de terminaison critiques appartenant à des parties prenantes très en vue. »

Assaf Dahan, directeur principal et responsable de la recherche sur les menaces chez Cybereason. (Crédit : Autorisation)

Assaf Dahan a déclaré que l’ampleur des dommages subis par les entreprises ciblées était difficile à évaluer.

Cybereason a déclaré avoir informé le Federal Bureau of Investigation (FBI) et le ministère de la Justice de ses recherches.

Les nations occidentales, et en particulier les États-Unis et la Grande-Bretagne, ont accusé au fil des ans la Chine d’opérations de piratage à grande échelle visant à dérober de grandes quantités de données, notamment des secrets commerciaux et des informations scientifiques, ainsi que des détails privés sur les citoyens.

L’année dernière, un article de Bloomberg a détaillé la manière dont les agents chinois avaient pu pénétrer dans de grandes entreprises en exploitant un important fournisseur de technologie américain.

En 2018, les autorités américaines ont inculpé deux pirates informatiques chinois présumés qui auraient agi au nom de la principale agence de renseignement de Pékin pour voler des secrets commerciaux et d’autres informations à des agences, ainsi qu’à un éventail de grandes entreprises aux États-Unis et dans près d’une douzaine d’autres nations. Les pays qui ont été ciblés et cités dans l’acte d’accusation américain sont le Brésil, le Canada, la Finlande, la France, l’Allemagne, l’Inde, le Japon, la Suède, la Suisse et les Émirats arabes unis.

L’année dernière, Cybereason a révélé dans un rapport distinct que des groupes de pirates soutenus par l’État chinois avaient compromis au moins cinq entreprises de télécommunications mondiales, volant des enregistrements téléphoniques et des données de localisation.

Fondée en 2012, Cybereason a levé plus de 700 millions de dollars de capitaux au cours de la dernière décennie auprès d’investisseurs tels que GV, anciennement connu sous le nom de Google Ventures, et la branche de capital-risque d’Alphabet, Softbank, CRV, Spark Capital, Lockheed Martin et Liberty Strategic Capital, la société de capital-investissement créée début 2021 par l’ancien secrétaire au Trésor américain Steven Mnuchin.

Cybereason utilise l’analyse comportementale et l’apprentissage automatique pour traiter les informations en temps réel et fournir détection et réponse étendue (XDR). Le logiciel peut indiquer aux entreprises si elles sont attaquées, évaluer l’impact et agir pour stopper la menace, selon le site Web de l’entreprise.

Cybereason aurait déposé en février, de manière confidentielle, une demande d’introduction en bourse qui pourrait valoriser la société à plus de 5 milliards de dollars.

En savoir plus sur :
C’est vous qui le dites...