Deux instituts de recherche détenus par l’une des plus importantes entreprises russes dans le secteur de la défense ont été la cible d’une cyber-attaque en provenance de Chine. Ce n’est pas la première fois que des hackers chinois s’attaquent à des entités russes.

La campagne chinoise de cyber-espionnage n’épargne personne. Cette fois ce sont des instituts de recherche militaire russe qui ont été ciblés par hackers issus de l’Empire du milieu. Deux entités de Rostec, le plus important groupe dans l’industrie de la défense du pays, ainsi qu’une potentielle cible biélorusse, ont été piégées par des liens de phishing, révèle Checkpoint, l’entreprise israélienne de cybersécurité, dans un rapport publié le 19 mai.

Les victimes travaillent dans des domaines de recherche et développement sur la radioélectronique, les stations radar et les moyens d’identification aériens, une branche importante dans l’activité de l’entreprise. Pour les tromper, les attaquants se sont fait passer pour le ministère de la Santé russe : certains mails alertent les chercheurs d’une éventuelle arme biologique en provenance des États-Unis. Un document Word était intégré, servant de leurre, pour installer le logiciel malveillant. Le malware profite d’une porte dérobée sur Windows pour prendre le contrôle de l’ordinateur.

Checkpoint attribue ces attaques à un acteur chinois, proche de Stone Panda et Mustang Panda, deux groupes spécialisés dans le cyber-espionnage qui travailleraient au service de Beijing. Depuis mars, pas une semaine ne passe sans que l’on découvre une nouvelle victime par ces pirates informatiques.

Russie
Le mail frauduleux invitait la victime à consulter une liste des personnes touchées par les sanctions des États-Unis suite à l’invasion de l’Ukraine. // Source : Checkpoint

L’offensive continue sur le plan mondial

Checkpoint estime d’ailleurs qu’il s’agit d’une vaste campagne d’espionnage industriel lancée il y a un an, l’entreprise de cybersécurité a baptisé cette série d’attaques « Twisted Panda ». Les hackers sont liés par un même mode opératoire et un logiciel malveillant sophistiqué, difficilement détectable par les antivirus.

Généralement, c’est un malware de type PlugX, chargé de s’infiltrer avec discrétion dans le système informatique qui est utilisé, mais les chercheurs découvrent de nouveaux variants à chaque attaque. « En moins d’un an, les acteurs ont considérablement amélioré la chaîne d’infection et l’ont rendue plus complexe », déclarent les experts en cybersécurité dans leur rapport.

L’activité s’est intensifiée au cours des derniers mois. Les groupes de hackers profitent de la guerre entre la Russie et l’Ukraine et envoient de documents officiels piégés en fonction de l’actualité pour rendre le leurre plus légitime. La Russie, considérée comme un partenaire stratégique de la Chine n’est pas épargnée, c’est la deuxième attaque répertoriée en un mois contre une entité russe. Le Kremlin, déjà isolé sur le plan international, n’a pas réagi à ces publications.