La Chine a lancé une vaste opération de cyber-espionnage en Europe

La Chine a déployé une importante opération de cyber-espionnage à l'encontre d'entreprises américaines, européennes et asiatiques. Dans le cadre de l'attaque, des hackers chinois ont volé des informations confidentielles en exploitant des failles de Windows. 

Les chercheurs en sécurité informatique de Cybereason, une entreprise spécialisée fondée en 2012, ont découvert que Winnti, un groupe de pirates chinois, a mené une importante opération d'espionnage aux États-Unis, en Europe et en Asie.

Aussi appelé APT41, ce gang de hackers est directement financé par les autorités chinoises. Leur nom habituel, Winnti, provient de l'un de leurs outils de piratage les plus courants, un virus informatique intitulé Winnti Trojan. Le groupe est notamment connu pour avoir piraté les serveurs de CCleaner, Asus et de nombreux éditeurs de jeux en Corée du Sud.

Lire aussi : des pirates chinois profitent de la guerre en Ukraine pour récupérer des données sensibles

Des pirates chinois utilisent des failles Windows pour voler des secrets industriels

Lors de son enquête, Cybereason a découvert que Winnti a déployé une attaque informatique sur les serveurs de plusieurs entreprises de technologie et de fabrication afin de s'emparer des secrets commerciaux et industriels. Fidèle à ses habitudes, le gang subtilise la propriété intellectuelle de firmes étrangères sur ordre de Pékin.

Pour compromettre leurs cibles, les pirates de Winnti sont passés par Windows CLFS (Common Log File System Driver ), un fichier système essentiel du système d'exploitation. Les hackers ont exploité “de multiples vulnérabilités, certaines connues et d'autres inconnues au moment de l'exploitation”, explique Assaf Dahan, directeur principal et chef de la recherche chez Cybereason.

L'expert précise que les pirates ont “abusé du format de fichier CLFS” pour camoufler des logiciels malveillants. En l'occurrence, il s'agissait du malware Winnti, capable d'aspirer les données d'un ordinateur ou d'un serveur en contournant les mesures de sécurité.

Les cyberattaques en provenance de Chine ne sont pas rares. Il y a quelques semaines, Google a découvert que des utilisateurs de Gmail affiliés au gouvernement américain ont été la cible d'une attaque déployée des pirates chinois. En 2021, Google a repéré plus de 50 000 alertes de piratage en provenance d’états étrangers, surtout de la part de la Chine et de la Russie. Par le passé, la Chine a également été accusée du piratage de Microsoft Exchange.

De son côté, le FBI a identifié 1 000 cas de vol de propriété intellectuelle commandités par la Chine depuis 2018. Dans ce contexte, Cybereason encourage les entreprises à mettre en place des mesures pour se protéger contre le cyber-espionnage du gouvernement chinois.