La Chine aurait lancé des attaques portées par des APT sur des serveurs au cours de la dernière décennie. Une offensive qui a démarré en cette année du rat, un « présage de créativité et d’ingéniosité ».

C’est que révèle le rapport intitulé « Decade of the RATs: Cross-Platform APT Espionage Attacks Targeting Linux, Windows and Android », qui donne un aperçu des opérations d’espionnage économique ciblant la propriété intellectuelle, sujet au cœur de plus de 1000 enquêtes ouvertes réparties dans les 56 bureaux du FBI selon le ministère de la justice américain.

Ce rapport étudie comment cinq groupes connexes de menaces persistantes avancées (APT) opérant dans l’intérêt du gouvernement chinois ont systématiquement ciblé les serveurs Linux, les systèmes Windows et appareils mobiles fonctionnant sous Android tout en restant invisibles pendant près d’une décennie.

Le rapport de Blackberry fait écho à celui de FireEye publié il y a quelques jours qui mentionnait une résurgence d’attaques à partir du mois de janvier, lorsque l’épidémie à commencé à déferler sur la Chine. FireEye avait repéré une attaque provenant d’un groupe APT41 qui a démarré le 20 janvier et visant quelque 75 entreprises clientes dans les secteurs industriels, des médias et de la santé. FireEye a qualifié cette offensive « d’attaque la plus large lancée ces dernières années par la Chine ».

L’aspect multiplateforme des attaques mises en lumière par BlackBerry est particulièrement préoccupant compte tenu des problèmes de sécurité posés par l’augmentation soudaine du nombre de télétravailleurs. Les outils d’attaque contemporains sont d’ores et déjà utilisés afin de tirer parti des failles liées au travail à domicile mais aussi des équipes sur site en charge de la sécurité des systèmes critiques réduites.

Alors qu’une partie importante des salariés sont en télétravail, la propriété intellectuelle reste dans les centres de données d’entreprise, dont la plupart fonctionnent sous Linux. Linux gère la quasi-totalité du million de sites web les plus populaires, 75% de tous les serveurs Web, 98% des supercalculateurs mondiaux et 75% des principaux fournisseurs de services cloud (Netcraft, 2019, Linux Foundation, 2020). La plupart des grandes entreprises s’appuient sur Linux pour faire fonctionner leurs sites web, le réseau proxy et stocker des données de valeur. Le rapport BlackBerry examine comment les APT ont tiré parti de la nature «always on, always available » des serveurs Linux et l’ont utilisé comme une brèche commune leur permettant d’attaquer un large éventail de cibles.

« Linux n’est généralement pas directement accessible par les utilisateurs. La plupart des sociétés de sécurité concentrent leurs efforts d’ingénierie et de marketing sur les produits conçus pour le front office plutôt que sur les racks de serveurs. La visibilité sur le système Linux est donc limitée », explique Eric Cornelius Chief Product Architect chez BlackBerry.  « Ces groupes APT se sont concentrés sur cette faille de sécurité et l’ont utilisée à leur avantage afin d’usurper la propriété intellectuelle des secteurs ciblés, et ce pendant des années et sans que personne ne s’en aperçoive. »


Parmi les autres conclusions clés du rapport

– Le rapport identifie deux nouvelles catégories de logiciels malveillants Android. Ce même rapport explique comment les groupes APT ont exploité les logiciels malveillants mobiles, en combinaison avec les logiciels malveillants de bureau traditionnels, dans les campagnes de surveillance et d’espionnage multiplateformes en cours.
– L’un des exemples de logiciels malveillants Android ressemble de très près au code d’un outil de test d’intrusion disponible dans le commerce. Cependant, le logiciel malveillant semble avoir été créé près de deux ans avant le lancement de l’outil commercial.
– Le rapport examine plusieurs nouvelles variantes de logiciels malveillants bien connus, réussissant à passer outre les défenses de réseaux grâce aux certificats de signature de code des logiciels publicitaires. Les hackers utiliseraient cette tactique pour améliorer le taux d’infection, notamment car les signaux d’alarme sont considérés comme un simple écart dans un flux global d’alertes publicitaires.