Pékin à la manœuvre derrière un groupe de rançongiciel, voilà l’hypothèse dévoilée dans un rapport du 23 juin de l’entreprise de cybersécurité américaine Secureworks. L’objectif pour la Chine serait de dissimuler ses activités d’espionnages derrière de banales actions cybercriminelles.
Secureworks et Microsoft sur le coup
Dans une étude de mars 2022, « Panorama de la menace informatique 2021 », l’agence de cyberdéfense française, l’ANSSI, rapportait observer depuis quelques années, « une convergence des méthodes et outils utilisés par plusieurs profils d’acteurs malveillants ». En clair, des entités étatiques se sont emparées de modes opératoires cybercriminels pour dissimuler leurs activités dans le cyberespace.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Selon Secureworks, « Bronze Starlight », aussi appelé DEV-0401 par Microsoft, pourrait être l’un de ces groupes sponsorisés par un État, ici la Chine. Secureworks estime que « La victimologie, la courte durée de vie de chaque famille de rançongiciel et l’accès aux malwares utilisés par les groupes de menaces parrainés par le gouvernement suggèrent que la principale motivation de BRONZE STARLIGHT pourrait être le vol de propriété intellectuelle ou le cyberespionnage plutôt que le gain financier ».
C’est d’abord le géant américain qui a repéré ce groupe, apparut mi-2021 et particulièrement discret. Une discrétion obtenue grâce aux changements très réguliers de rançongiciels pour ses attaques, LockFile (août 2021), AtomSilo (octobre), Rook (novembre), Night Sky (décembre) et Pandora (février 2022), LockBit 2.0 (avril).
« Parce que DEV-0401 maintient et rebaptise fréquemment leurs propres charges utiles de rançongiciel, ils peuvent apparaître comme des groupes différents dans les rapports basés sur les charges utiles et échapper aux détections et aux actions contre eux », notait Microsoft en mai.
Cette attitude est plutôt inédite dans un milieu où un logiciel est utilisé tant qu’il reste efficace. Elle permet de rester sous les radars des chercheurs en cybersécurité. Microsoft et Secureworks ont également remarqué une autre originalité : Bronze Starlight ne fait pas appel à des Courtiers en accès initiaux, des vendeurs de failles dans un système informatique, mais utilise des vulnérabilités non corrigées. Pour Microsoft le groupe « diffère de la plupart des attaquants ».
La Chine adepte du rançongiciel ?
De là à attribuer la potentielle responsabilité de la Chine ? Il y a un pas que Secureworks franchit, sur la base de plusieurs éléments. Dans un premier temps l’utilisation de logiciels populaires chez les groupes de l’Empire de Milieu, avec quelques traces de chinois décelable.
Ensuite l’adoption de la pratique du « name-and-shame ». En plus, ou plutôt de réclamer une rançon contre une clef d’accès, les attaquants volent des données et menacent de les publier sur un site public. Pour Secureworks, « Il est possible que ce changement ait fourni un moyen plus plausible d’exfiltrer des données. Les acteurs de la menace peuvent également avoir décidé que le profil public serait plus efficace pour détourner l’attention de leurs véritables objectifs opérationnels ».
Le dernier indice intéressant pour Secureworks est la fameuse « victimologie » de Bronze Starlight. Sur les 21 victimes comptabilisées par Secureworks, 75% correspondent aux intérêts chinois, la plupart du temps en Asie ou aux États-Unis : des sociétés pharmaceutiques au Brésil et aux États-Unis, un média américain, des concepteurs et fabricants de composants électroniques au Japon et en Lituanie, un cabinet d’avocats américains, la division aérospatiale et défense d’un conglomérat indien… Les autres cibles ressemblent à des incidents, sociétés immobilières américaines ou une entreprise de décoration intérieure européenne.
Dans le domaine de la cybersécurité, l’attribution d’une cyberattaque est toujours un exercice complexe. Secureworks, tout en désignant Pékin, s’arme de prudence en précisant ne formuler qu’une hypothèse sur la base des indices récoltée. L’utilisation d’un outil cybercriminel par un État est loin d’être improbable tant il a l’avantage de la discrétion, de récupérer des données en brouillant les pistes.
