L’équipe malaisienne de réponse aux urgences informatiques (MyCert) a mis en garde contre une campagne de cyberespionnage ciblant des responsables gouvernementaux.
Alors que son avis sur la sécurité ne faisait référence aux pirates que comme un «groupe de menaces spécifiques», le document faisait allusion au groupe APT40 – un groupe de cyberespionnage qui, selon les chercheurs en sécurité, travaille pour le gouvernement chinois.
L’avis MyCert est étiqueté «APT40» et il fait référence à quatre documents dans ses notes de bas de page qui décrivent les outils et le mode de fonctionnement d’APT40.
Selon le site d’information technologique ZDNet, les activités de piratage d’APT40 sont connues pour être alignées sur les intérêts du gouvernement chinois, en particulier en ce qui concerne « l’ingénierie, les transports et l’industrie de la défense, en particulier lorsque ces secteurs se chevauchent avec les technologies maritimes ».
Il a cité un groupe d’analystes de la cybersécurité affirmant que les APT40 sont des contractuels embauchés et opèrent sous la supervision du département de Hainan du ministère chinois de la Sécurité nationale.
Pendant ce temps, l’avis de MyCert mercredi a déclaré que les pirates avaient pour objectif de voler des données sur des projets soutenus par le gouvernement.
«Les opérations du groupe ont tendance à cibler des projets parrainés par le gouvernement et à recueillir de grandes quantités d’informations spécifiques à ces projets, notamment des propositions, des réunions, des données financières, des informations d’expédition, des plans et des dessins et des données brutes», a-t-il déclaré.
MyCert est une agence gouvernementale relevant de Cybersecurity Malaysia et est placée sous la tutelle du ministère du Multimédia et des Communications.
Il n’a pas précisé si les tentatives de piratage avaient réussi.
Pour faire une tentative de piratage, MyCert a déclaré que le groupe avait d’abord envoyé des e-mails de «spear phishing» à leurs victimes. Cela a été fait soit par le biais d’adresses e-mail déjà compromises, soit par usurpation d’identité.
Le spear-phishing est une forme de cyberattaque qui repose sur la tromperie pour inciter les victimes à révéler des informations sensibles ou pour effectuer une action particulière, comme ouvrir un fichier malveillant.
Dans ce cas, MyCert a déclaré que les pirates se faisaient passer pour des journalistes, des représentants de publications commerciales ou quelqu’un d’une organisation militaire ou d’une ONG pertinente.
Ils ont cherché à convaincre leurs victimes d’ouvrir un document Microsoft Office infecté, qui est envoyé à la victime sous forme de pièce jointe à un e-mail ou de lien Google Drive.
Une fois le fichier ouvert, il déclenche le téléchargement et l’exécution de logiciels malveillants.
MyCert a exhorté les utilisateurs d’ordinateurs à maintenir leurs logiciels à jour et à suivre les meilleures pratiques de sécurité de leur organisation.
«En général, MyCert conseille aux utilisateurs de cet appareil d’être mis à jour avec les dernières annonces de sécurité du fournisseur et de suivre les meilleures pratiques en matière de politiques de sécurité pour déterminer les mises à jour à appliquer», a-t-il déclaré.
