Cyberattaque Photo:VCG
Des experts chinois en cybersécurité ont dénoncé un groupe de pirates informatiques, dont les principaux membres viennent d’Europe et d’Amérique du Nord, qui a lancé des cyberattaques soutenues contre la Chine comme cible principale, posant une menace sérieuse pour la cybersécurité et la sécurité des données du pays, a appris le Chine Direct. un laboratoire de cybersécurité basé à Pékin dimanche.
Dans un rapport que le Chine Direct a obtenu du laboratoire Qi An Pangu, il a révélé que le groupe de piratage, nommé Against The West (ATW), a affirmé avoir divulgué des informations sensibles, notamment le code source et la base de données d’importants systèmes d’information liés à la Chine sur plus de 70 fois depuis 2021, impliquant quelque 300 systèmes d’information de plus de 100 agences gouvernementales importantes ainsi que des départements de l’aviation et des infrastructures.
En particulier, depuis 2022, ATW a intensifié son élan et a continué à mener des détections de balayage à grande échelle et des attaques de «chaîne d’approvisionnement» sur les réseaux chinois, indique le rapport.
Grâce à un suivi à long terme, les experts en cybersécurité du laboratoire Qi An Pangu ont découvert que les membres actifs d’ATW sont principalement engagés dans des professions liées à la programmation et à l’ingénierie réseau et qu’ils sont principalement situés en Suisse, en France, en Pologne, au Canada et dans d’autres pays.
C’est la deuxième fois que le laboratoire a révélé le vrai visage d’une organisation de pirates informatiques qui a effectué des vols de données et des attaques de réseau sur la Chine, suite à la révélation des détails techniques complets d’Equation, un groupe de piratage d’élite affilié à la NSA, en Février 2022. Il a été découvert qu’Equation avait créé une porte dérobée avancée et secrète, qui a été utilisée pour surveiller 45 pays et régions pendant plus d’une décennie.
Selon le rapport, le groupe ATW a été créé en juin 2021 et est devenu actif sur les forums en ligne en octobre de la même année. Depuis sa création, ATW a exprimé un net parti pris anti-chinois. Il a déclaré publiquement qu’il « publierait des articles sur les fuites de données en Chine, en Corée du Nord et dans d’autres pays ». Il a également publié un article spécial intitulé « ATW-War against China », qui soutenait explicitement « l’indépendance de Taiwan », prônait « l’indépendance de Hong Kong » et faisait la promotion des « questions des droits de l’homme » dans la région chinoise du Xinjiang.
Depuis octobre 2021, l’organisation est active sur les plateformes de médias sociaux à l’étranger, affichant une nette tendance pro-américaine et pro-occidentale. ATW a publié plusieurs déclarations affirmant que les cibles de l’organisation sont la Russie, la Biélorussie, la Chine, l’Iran et la Corée du Nord et qu’elle est disposée à partager des fichiers avec les États-Unis et l’UE ou à être embauchée par leurs agences apparentées.
Selon des statistiques incomplètes, depuis 2021, ATW a divulgué le code source du système d’information important, la base de données et d’autres informations sensibles plus de 70 fois. L’organisation a affirmé que les données provenaient de plus de 100 départements chinois, impliquant des agences gouvernementales et des entreprises publiques.
Par exemple, le 7 janvier 2022, ATW a affirmé avoir vendu « une grande quantité de données gouvernementales, d’ONG, d’institutions et d’entreprises en Chine, impliquant 102 entités chinoises ».
Cependant, les experts du laboratoire ont découvert que le soi-disant code source correspond aux données de test ou aux fichiers de code de projet développés par les petites et moyennes entreprises de développement de logiciels. Les experts ont également constaté que, pour attirer l’attention, ATW a tendance à déformer et à exagérer ses attaques.
L’équipe du laboratoire a identifié six membres actifs de l’ATW, dont trois de France et un du Canada. L’une des membres Tillie Kottmann, née en Suisse, a été inculpée par le ministère américain de la Justice en mars 2021, mais l’affaire a été brusquement suspendue fin mars. Depuis lors, la Chine est l’une des principales cibles de Kottmann, selon le rapport du laboratoire.
L’organisation a principalement effectué des analyses à grande échelle et des attaques contre les vulnérabilités techniques sur SonarQube, Gogs, Gitblit et d’autres systèmes de réseau open source. Ils voleraient alors le code source et les données connexes, qui peuvent être utilisés pour exploiter et pénétrer davantage le système d’information du réseau.
« Il s’agit d’une attaque typique de la » chaîne d’approvisionnement « », a déclaré dimanche un expert en cybersécurité du laboratoire au Chine Direct.
Il a suggéré que les entreprises de développement de logiciels corrigent immédiatement les vulnérabilités logicielles, contrôlent strictement les autorisations d’accès au réseau public, modifient en temps opportun les mots de passe d’accès par défaut et améliorent encore la capacité de gestion de la sécurité du code source.
En ce qui concerne la fuite du code source du système déployé dans l’unité utilisateur, l’expert a suggéré que les entreprises de développement de logiciels renforcent l’audit de sécurité du code source du système et chiffrent et stockent le code source et les données des systèmes d’information importants.
« Les départements gouvernementaux et les équipes techniques liés à la cybersécurité devraient renforcer la surveillance des activités de cyberattaques illégales de l’organisation ATW, avertir de la tendance des attaques et effectuer des recherches en arrière-plan et d’autres contre-mesures », a déclaré l’expert.
