Des pirates chinois lancent des attaques contre des responsables européens dans la guerre Russie-Ukraine

Les pirates informatiques chinois ont rejoint la mêlée de ceux qui ciblent le conflit en Ukraine et la crise des réfugiés qui y est associée, selon une recherche de Google et de la société de cybersécurité Proofpoint.

Google a signalé lundi qu’un groupe chinois appelé Mustang Panda a ciblé des entités européennes avec des leurres liés à l’invasion de l’Ukraine par la Russie. Le groupe d’analyse des menaces (TAG) de l’entreprise a repéré des courriels d’hameçonnage avec des fichiers joints malveillants portant des noms tels que « Situation aux frontières de l’UE avec l’Ukraine.zip ».

« Le fichier zip contient un exécutable du même nom qui, une fois exécuté, télécharge plusieurs fichiers supplémentaires. Pour limiter les dégâts, TAG a alerté les autorités compétentes de ses découvertes », écrit Google, qui ajoute : « Le ciblage d’organisations européennes a représenté un changement par rapport aux cibles d’Asie du Sud-Est régulièrement observées par Mustang Panda ».

Proofpoint, quant à lui, a déclaré avoir constaté une augmentation de l’activité d’un groupe connu sous le nom de RedDelta, précédemment lié à Mustang Panda, et que certains chercheurs pensent être la même équipe. Le 28 février, alors que des obus russes étaient lancés sur les villes ukrainiennes, les pirates de RedDelta utilisaient l’adresse électronique piratée d’un diplomate d’un pays européen et d’un pays membre de l’OTAN pour envoyer des courriels contenant des logiciels malveillants aux bureaux diplomatiques d’un autre pays. Proofpoint n’a identifié aucun de ces pays.

Là encore, le fichier malveillant portait le titre « Situation aux frontières de l’UE avec l’Ukraine.zip », ce qui indique que Google et Proofpoint ont été témoins de la même activité. L’objectif final de l’attaque semble être de lancer un outil d’accès à distance, connu sous le nom de PlugX, sur les PC des cibles.

Proofpoint a également vu les pirates de RedDelta envoyer des e-mails de phishing contenant des « pixels espions », une minuscule image dans un message qui indique aux attaquants qu’un e-mail a été ouvert et que le destinataire peut donc être plus sensible à d’autres attaques d’ingénierie sociale. « Le rythme opérationnel de ces campagnes, en particulier celles visant les gouvernements européens, a fortement augmenté depuis que les troupes russes ont commencé à s’amasser à la frontière de l’Ukraine », écrit Proofpoint.

« La campagne pluriannuelle contre les entités diplomatiques en Europe suggère une zone de responsabilité cohérente appartenant à RedDelta. Ce mandat peut avoir augmenté contre des entités en Europe pendant la période actuelle de conflit géopolitique et de bouleversements économiques en Europe. »

Pas plus tard que la semaine dernière, Proofpoint a révélé que d’autres pirates, liés à la Biélorussie, avaient également ciblé la crise des réfugiés, avec des courriels d’hameçonnage envoyés depuis le compte compromis d’un responsable militaire ukrainien.

La Chine, dont le président Xi Jinping a tissé des liens étroits avec le président russe Vladimir Poutine, a un intérêt dans le conflit en cours. Jusqu’à présent, elle a évité de critiquer la Russie comme d’autres nations l’ont fait pour son invasion de l’Ukraine, et Pékin a été invité à faire davantage de médiation pour aider à mettre fin à la guerre. Ces derniers jours, il a été rapporté que le ministre chinois des affaires étrangères a déclaré que la Croix-Rouge de son pays allait fournir une aide humanitaire à l’Ukraine.

L’ambassade de Chine à Londres n’avait pas répondu à une demande de commentaire au moment de la publication.

Attaques contre l’Occident attendues

Google a déclaré qu’il avait également vu des groupes russes et biélorusses lancer des attaques centrées sur l’invasion de l’Ukraine. L’un d’entre eux, surnommé FancyBear ou APT28, a été précédemment attribué à la direction générale des renseignement russe GRU après avoir été accusé d’avoir tenté de pirater les élections de 2016 – son piratage présumé le plus notoire étant celui du Comité national démocrate.

Malgré ces attaques, la cyberguerre totale que certains avaient prévu de faire coïncider avec l’invasion terrestre ne s’est pas matérialisée. Matt Olney, directeur du renseignement sur les menaces et de l’interdiction pour Cisco Talos, affirme que son groupe aide à protéger les organisations ukrainiennes depuis 2015, lorsque des pirates informatiques, présumés russes, ont coupé l’alimentation en électricité dans plusieurs régions du pays voisin.

Selon Olney, le conflit ukrainien se déroulant principalement dans le monde physique, il est plus probable que des cyberattaques soient désormais lancées contre des entités occidentales dans les pays qui se sont rangés du côté de Kiev.

« Les opérateurs de l’équipe A en Russie sont probablement principalement affectés en ce moment à des activités d’espionnage, en essayant de comprendre la réponse de l’Occident, car c’est là que la Russie craint le plus d’être touchée », a déclaré M. simplealternatives.com Olney.

Article traduit de Forbes US – Auteur : Thomas Brewster

<<< À lire également : Guerre en Ukraine : les pirates informatiques s&#8217;attaquent à la crise des réfugiés >>>