Posté le décembre 20, 2019 à 19:34
UN GROUPE DE HACKERS CHINOIS REFAIT SURFACE APRÈS AVOIR DISPARU PENDANT DE NOMBREUSES ANNÉES
Un groupe de hackers chinois a refait surface après avoir disparu pendant longtemps. Les chercheurs ont révélé que ce groupe de hackers, qui appartient à APT20, cible les États-Unis et d’autres pays. Selon les chercheurs, ces hackers récoltent des données après avoir obtenu l’accès à des mots de passe et décrypté une authentification à deux facteurs pour passer à travers le pare-feu de l’hôte.
Selon Fox-IT, une entreprise de sécurité basée aux Pays-Bas, le groupe de hackers a étendu ses activités à dix pays différents, dont l’Italie, l’Allemagne, la France, le Royaume-Uni et les États-Unis. Ces hackers utilisent une technologie sophistiquée pour accéder aux codes d’authentification de leurs victimes.
Ils mènent une campagne d’espionnage mondiale ciblant des entreprises de différents secteurs, notamment l’énergie, l’assurance, les soins de santé, les jeux de hasard, la finance, la construction et l’aviation. Le chercheur a déclaré qu’il est presque certain que les hackers opèrent avec le soutien du gouvernement chinois.
Selon les chercheurs de Fox-IT, de 2009 à 2014, le groupe de hackers APT20 a été pointé du doigt dans des activités de piratage. Le groupe a ciblé les entreprises de télécommunications, les soins de santé, l’armée et les universités. Les chercheurs ont déclaré qu’ils travaillaient et espionnaient activement plusieurs autres entreprises à ce moment-là. Maintenant qu’ils sont de retour, la communauté numérique se prépare à les faire disparaître.
Après leurs exploits de ces années-là, ils sont soudainement passés sous le radar. L’expert en chef de la sécurité de Fox-IT, Frank Groenewegen, a dit que beaucoup de gens pensaient que ce groupe de hackers n’existait plus ou qu’ils avaient tout simplement disparu. Mais le groupe a refait surface et opère au niveau international, en espionnant des bases de données très importantes de différentes institutions.
Lorsque le gouvernement chinois a été contacté sur cette question, un représentant du gouvernement n’a pas répondu au message.
Le groupe de hackers a refait surface l’année dernière
Fox-IT était en train d’analyser les systèmes informatiques compromis lorsque les chercheurs sont tombés sur le piratage du groupe. Après avoir analysé l’attaque, les chercheurs ont fait une recherche de pistes qui les a menés à voir une foule d’attaques similaires qui ont été menées. Ces attaques ont le même caractéristique, c’est pourquoi les chercheurs ont pu retracer d’autres installations compromises. Selon les chercheurs, il y a eu des attaques récentes en Espagne, au Portugal, au Mexique et au Brésil.
M. Groenewegen n’a pas mentionné les entreprises qui ont été attaquées, mais il a déclaré qu’il y avait même eu une autre attaque en Chine, le pays d’origine des hackers. Actuellement, Fox-IT a informé les entreprises concernées et les aide à se débarrasser du logiciel malveillant.
Comment le groupe a obtenu l’accès
Tout comme les autres types de méthodes de piratage, celle-ci repose sur la vulnérabilité des réseaux. Si les hackers constate cette vulnérabilité chez les employés du gouvernement ou des entreprises, ils tenteront d’aller plus loin. Cette fois, ils cibleront les administrateurs système, là où se trouve l’information la plus sensible, selon Groenewegen.
Selon Groenewegen, les hackers utilisent généralement le logiciel enregistreur de frappe de clavier et certains mots de passe lorsque l’administrateur utilise le système. Le groupe a réussi à compromettre la sécurité de l’authentification à double facteurs de RSA SecurID. Le logiciel a reproduit les codes qui devaient bloquer les assauts des hackers. Ce groupe a réussi à passer à travers la double authentification grâce à la technique de piratage.
Aucune réponse de la part de RSA Security
Après le piratage et la connexion aux serveurs compromis, les hackers couvrent généralement leur piste pour la rendre difficile à repérer, explique Fox-IT. Ils effacent généralement les outils de piratage pour rester introuvables. Mais ils n’ont pas toujours couvert leurs traces efficacement. Les dérapages occasionnels ont permis à Fox-IT de découvrir leurs activités de piratage.
Comment Fox-IT l’a découvert
L’équipe de recherche a installé un système de surveillance sur le réseau d’une des victimes. C’est là qu’elle a collecté les données du logiciel de piratage. Mais les données piratées ont été réinterprétées en chinois.
Les forces de l’ordre ont aidé Fox-IT à tracer les activités des hackers. Il s’avère que les hackers utilisaient un navigateur web qu’ils avaient acheté pour mettre en scène leur série d’attaques.
Pour rester anonymes, ils ont choisi de payer le site Web de piratage en bitcoin et ont présenté de faux détails et de fausses informations. Cependant, une partie de l’adresse a été tapée en chinois simplifié. Le fuseau horaire des hackers montre également que le groupe opérait depuis la Chine. Selon Fox-IT, il s’agit là d’une preuve accablante que ces hackers sont basés en Chine.