Des chercheurs en cybersécurité ont découvert un logiciel malveillant difficilement détectable dans le système informatique de plusieurs dizaines d’entreprises. Ce malware a été installé par un groupe chinois déjà connu des autorités.

Un groupe de hackers chinois espionne des entreprises stratégiques dans les secteurs de la technologie et de la chimie en Europe, en Asie et sur le continent nord-américain depuis 2019. Actifs depuis plus de dix ans, ces pirates informatiques connus sous le nom de Winnti (ou encore APT41, Barium, Blackfly) sont soupçonnés de travailler pour le compte de l’État chinois. Ils sont spécialisés dans le cyber espionnage et le vol d’informations.

Le groupe a été détecté par l’entreprise Cybereason qui publie un rapport ce 4 mai 2022, détaillant le mode opératoire de la cyber attaque. Les méthodes employées pour infecter les ordinateurs des victimes sont « très sophistiquées et rarement vues par le passé », indiquent les chercheurs.

Le but de cette campagne est avant tout de récupérer les secrets industriels des entreprises visées. Baptisée « Opération CuckooBees », l’attaque a commencé par l’exploitation de vulnérabilités dans le logiciel de planification des ressources d’entreprise. Certains bugs étaient déjà connus, mais d’autres sont des vulnérabilités zero-day (découvertes pour la première fois).

Une fois l’accès au système d’entreprises obtenu, un shell web (script malveillant) est introduit dans les interfaces attaquées afin d’espionner et contrôler la session sans que l’utilisateur ne s’en rende compte. « Les attaquants ont choisi de diviser la chaîne d’infection en plusieurs phases interdépendantes, où chaque étape s’appuie sur la précédente pour s’exécuter correctement. Ce processus a rendu l’infiltration indétectable » nous précise Asaf Dahan, directeur de recherche sur les menaces chez Cybereason. Les chercheurs ont analysé le code du malware et l’ont comparé à de précédentes campagnes pour le relier à Winnti. Les entreprises touchées par le logiciel malveillant ont voulu rester anonymes.

Des attaques en lien avec les stratégies industrielles chinoises

« L’impact économique du vol de propriété intellectuelle est difficile à déterminer, mais on sait qu’il se chiffre à plusieurs milliards » déclare l’expert en cybersécurité. Ces informations intéressent de nombreuses entreprises et la frontière entre le hacking et l’espionnage national est floue. Les attaques du groupe Winnti répondent aux recherches stratégiques menées par Beijing dans le secteur technologique.

Hackers chinois
Des membres de Winnti recherchés par le FBI. Source : FBI

Certains hackers sont d’ailleurs connus et recherchés par les autorités américaines. Il y a deux ans, ils étaient responsables du vol de code source de jeux en ligne, de certificats numériques signés par les éditeurs de plus de 35 sociétés. En mai 2021, les États-Unis ont lancé un avis de recherche contre quatre ressortissants chinois pour leur implication dans une campagne d’espionnage sur les recherches des les maladies infectieuses telles que Ebola et le SIDA.