Depuis 2017, au moins cinq sociétés de télécommunications ont été visées par des pirates agissant “au nom des intérêts de l’État chinois”, rapporte TheHackerNews. Des données de localisation se trouvent parmi celles volées, selon des experts en cybersécurité.

Une série d’attaques menée sur 4 ans

Avec cette campagne menée dans toute l’Asie du Sud-Est, l’objectif des pirates était d’obtenir et de maintenir un accès continu aux fournisseurs de télécommunications, et ainsi faciliter le cyberespionnage. Cela permet de collecter des données sensibles et parfois compromettantes, notamment des composants clés du réseau. Parmi eux, des contrôleurs de domaine et des serveurs web.

Ils auraient également exploité les failles de sécurité des serveurs Microsoft Exchange en mars dernier. Récemment, la Chine a été tenue responsable de ce piratage par une alliance de pays, incluant l’UE, les États-Unis, mais aussi l’OTAN.

Trois acteurs chinois impliqués

L’équipe Cybereason Nocturnus a mené une vaste enquête sur plusieurs intrusions, cette fois-ci, au sein du secteur des télécommunications en Asie du Sud-Est. Au cours de cette investigation, trois groupes d’activités ont pu être identifiés et ont montré des liens importants avec des acteurs connus. Ces derniers sont soupçonnés d’opérer au nom des intérêts de l’État chinois.

Les campagnes, collectivement appelées “DeadRinger”, ont alors été liées à Gallium, Naikon, et TG-3390. Ce dernier est entré en activité dès 2017. Les deux autres ont principalement opéré fin 2020. Néanmoins, les opérations d’espionnage se sont poursuivies jusqu’à mi-2021.

Naikon a notamment utilisé une porte dérobée nommée “Nebulae”, qui permet aux pirates d’avoir un accès à distance à un ordinateur. Il s’est également servi d’un keylogger, un logiciel malveillant capable de détecter et mémoriser les frappes de clavier d’un ordinateur.

"Chaque phase de l'opération démontre l'adaptabilité des attaquants dans la façon dont ils ont répondu aux divers efforts d'atténuation, en changeant les infrastructures, les outils et les techniques tout en essayant de devenir plus furtifs", ont expliqué les experts en cybersécurité.

Par ailleurs, les concordances chronologiques entre les trois acteurs seraient la preuve qu’ils agissaient ensemble. “Cela renforce l’idée que chacun groupe s’est vu attribuer des tâches parallèles en surveillant les entreprises ciblées, sous la direction d’un organisme de coordination centralisé, aligné sur les intérêts de l’État chinois”, expliquent-ils. Pour le moment, il n’a pas été indiqué quelles sociétés de télécommunications étaient concernées par ces tentatives de cyberespionnage.