Report: Chinese State-sponsored Hacking Group Highly Active

Rapport : Un groupe de piratage parrainé par l’État chinois très actif

Un groupe de piratage chinois qui est probablement parrainé par l’État et qui a déjà été lié à des attaques contre des ordinateurs du gouvernement de l’État américain est toujours « très actif » et se concentre sur un large éventail de cibles pouvant présenter un intérêt stratégique pour le gouvernement et les services de sécurité chinois, a déclaré jeudi une société privée américaine de cybersécurité dans un nouveau rapport.

Le groupe de piratage, que le rapport appelle RedGolf, partage un chevauchement si étroit avec des groupes suivis par d’autres sociétés de sécurité sous les noms d’APT41 et de BARIUM qu’on pense qu’ils sont soit identiques, soit très étroitement affiliés, a déclaré Jon Condra, directeur du département stratégique et persistant. menaces pour Insikt Group, la division de recherche sur les menaces de la société de cybersécurité Recorded Future basée dans le Massachusetts.

Suite aux rapports précédents sur les activités d’APT41 et de BARIUM et surveillant les cibles qui ont été attaquées, Insikt Group a déclaré avoir identifié un groupe de domaines et d’infrastructures « très probablement utilisés dans plusieurs campagnes par RedGolf » au cours des deux dernières années.

« Nous pensons que cette activité est probablement menée à des fins de renseignement plutôt qu’à des fins financières en raison des chevauchements avec des campagnes de cyberespionnage signalées précédemment », a déclaré Condra dans une réponse par courrier électronique aux questions de l’Associated Press.

Le ministère chinois des Affaires étrangères a nié les accusations, déclarant : « Cette société a produit de fausses informations sur les soi-disant « attaques de pirates informatiques chinois » plus d’une fois dans le passé. Leurs actions pertinentes sont des accusations sans fondement, tirées par les cheveux et manquent de professionnalisme. »

Les autorités chinoises ont toujours nié toute forme de piratage parrainé par l’État, affirmant à la place que la Chine elle-même est une cible majeure des cyberattaques.

APT41 a été impliqué dans un acte d’accusation du ministère américain de la Justice en 2020 qui accusait les pirates chinois de cibler plus de 100 entreprises et institutions aux États-Unis et à l’étranger, y compris des sociétés de médias sociaux et de jeux vidéo, des universités et des fournisseurs de télécommunications.

Dans son analyse, Insikt Group a déclaré avoir trouvé des preuves que RedGolf « reste très actif » dans un large éventail de pays et d’industries, « ciblant l’aviation, l’automobile, l’éducation, le gouvernement, les médias, les technologies de l’information et les organisations religieuses ».

Insikt Group n’a pas identifié de victimes spécifiques de RedGolf, mais a déclaré qu’il était en mesure de suivre les tentatives d’analyse et d’exploitation ciblant différents secteurs avec une version du logiciel malveillant de porte dérobée KEYPLUG également utilisé par APT41.

Insikt a déclaré avoir identifié plusieurs autres outils malveillants utilisés par RedGolf en plus de KEYPLUG, « qui sont tous couramment utilisés par de nombreux groupes de menaces parrainés par l’État chinois ».

En 2022, la société de cybersécurité Mandiant a signalé qu’APT41 était responsable de violations des réseaux d’au moins six gouvernements d’États américains, utilisant également KEYPLUG.

Dans ce cas, APT41 a exploité une vulnérabilité jusque-là inconnue dans une application Web commerciale prête à l’emploi utilisée par 18 États pour la gestion de la santé animale, selon Mandiant, qui appartient désormais à Google. Il n’a pas identifié les systèmes des États qui ont été compromis.

Mandiant a qualifié APT41 de « groupe de cybermenaces prolifique qui mène des activités d’espionnage parrainées par l’État chinois en plus d’activités à motivation financière potentiellement hors du contrôle de l’État ».

Les sociétés de cyber-intelligence utilisent différentes méthodologies de suivi et nomment souvent les menaces qu’elles identifient différemment, mais Condra a déclaré qu’APT41, BARIUM et RedGolf « se réfèrent probablement au même ensemble d’acteurs ou de groupes de menaces » en raison de similitudes dans leur infrastructure en ligne, leurs tactiques. , techniques et procédures.

« RedGolf est un groupe d’acteurs menaçants parrainé par l’État chinois particulièrement prolifique qui est probablement actif depuis de nombreuses années contre un large éventail d’industries dans le monde », a-t-il déclaré.

« Le groupe a montré sa capacité à militariser rapidement les vulnérabilités nouvellement signalées et a l’habitude de développer et d’utiliser une large gamme de familles de logiciels malveillants personnalisés. »

Le groupe Insikt a conclu que l’utilisation du logiciel malveillant KEYPLUG via certains types de serveurs de commande et de contrôle par RedGolf et des groupes similaires est « très susceptible de se poursuivre » et a recommandé aux clients de s’assurer qu’ils sont bloqués dès qu’ils sont détectés.

A lire également