L’entreprise de cybersécurité Cybereason a révélé au début du mois qu’un groupe de hackers chinois étaient à l’initiative d’une campagne de cyberespionnage depuis plus de 3 ans. Ces derniers se sont servis d’un malware difficilement détectable pour détourner des informations confidentielles sur de nombreuses entreprises.

Une cyberattaque en cours depuis 3 ans

Ce sont des chercheurs en cybersécurité pour Cybereason qui ont alerté le FBI et le Department of Justice des États-Unis. La campagne de cyberespionnage, surnommée CuckooBees, aurait débuté en 2019, au moins.

En 2021, l’équipe d’intervention de l’entreprise a enquêté sur des intrusions au sein de nombreuses entreprises technologiques et manufacturières d’Amérique du Nord, d’Europe et d’Asie. C’est à ce moment-là qu'ils ont découvert l’existence de ces attaques sous-marines.

Les pirates informatiques ont profité de passer inaperçus pendant des années pour siphonner des centaines de gigabits d’informations. Leur objectif principal était le vol de propriétés intellectuelles. Dans le lot ? Des documents sensibles, des plans, des schémas, etc.

Ils ont également récolté des données pouvant servir à de potentielles futures cyberattaques telles que les effectifs des entreprises, l’architecture de leurs réseaux, les comptes et les informations d’identification des utilisateurs, les données des clients, etc.

Des hackers chinois derrière l’attaque

Dans leur rapport, Cybereason attribue cette cyberattaque au groupe de hackers chinois Winnti. Connu sous d’autres appellations (APT41, Barium, Blackfly), le groupe est soutenu par la Chine et est réputé pour sa discrétion, sa sophistication et son intérêt dans le vol de secrets technologiques.

D’après l’entreprise de cybersécurité, Winnti est « le groupe le plus prolifique et efficace qui existe ». Les hackers auraient utilisé une technique de « château de cartes », une approche où chaque composant dépend des autres pour fonctionner correctement, rendant très difficile la détection de chacun d’entre eux séparément.

Certains membres du groupe sont déjà connus des autorités américaines et sont activement recherchés. Ils étaient impliqués, deux ans auparavant, dans le vol de codes sources de jeux en ligne et de certificats numériques signés par plus de 35 entreprises.

Avis de recherche FBI.

Certains membres du groupe Winnti recherchés par le FBI. Capture d'écran : FBI.

Bien que le préjudice financier de cette cyberattaque de longue envergure soit difficile à estimer, une chose est sûre : elle a été extrêmement coûteuse. En effet, le vol de propriété intellectuelle annule tous les avantages compétitifs sur le marché.

Il est également difficile de savoir combien d’entreprises ont été touchées par le malware chinois, notamment à cause de sa grande discrétion. Cybereason estime que des dizaines d’entre elles peuvent avoir été la cible d'attaques.

La Chine a de nombreuses fois été mêlée à ce type de cyberattaques pour mettre la main sur les avancées technologiques des entreprises américaines. En février, le FBI estimait, après avoir enquêté sur plusieurs milliers de cas, que Pékin était à l’origine de la majorité des cyberattaques envers les États-Unis.