MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Attribuée à des acteurs chinois de l’État-nation, l’opération utilise des e-mails de spear-phishing envoyés sous couvert du ministère russe de la Santé pour collecter des informations sensibles. Les e-mails interceptés par CPR contenaient des documents malveillants qui se servaient des sanctions occidentales contre la Russie comme appât, entre autres techniques de manipulation. Les acteurs de la menace ont pu se soustraire à la détection pendant près de 11 mois en utilisant des nouveaux outils non documentés que CPR détaille pour la première fois. CPR a baptisé la campagne « Twisted Panda » pour illustrer la sophistication des outils observés et attribués à la Chine.
Les victimes russes sont membres d’une société de holding au sein du conglomérat de défense public russe appelé Rostec Corporation, la plus grande société de holding de l’industrie radio-électronique de Russie.
Les e-mails avaient pour objet « Liste des personnes de faisant l’objet de sanctions américaines pour avoir envahi l’Ukraine » et « Propagation par les États-Unis de substances pathogènes mortelles en Biélorussie ».
La campagne présente de multiples chevauchements avec des acteurs chinois du cyber espionnage de pointe et établis de longue date, dont APT10 et Mustang Panda.
Check Point Research (CPR) a repéré une opération de cyber espionnage active visant les instituts de recherche de la défense russe. Attribuée aux acteurs de la menace de l’État-nation chinois, l’opération s’appuie sur des techniques d’ingénierie sociale, notamment sur des appâts liés aux sanctions, pour collecter des informations sensibles. Les acteurs de la menace ont réussi à déjouer la détection pendant près de 11 mois en utilisant des outils nouveaux et non documentés, un chargeur multicouche sophistiqué et une porte dérobée surnommée SPINNER. CPR a nommé cette campagne « Twisted Panda » pour illustrer la sophistication des outils observés et l’attribution à la Chine.
CPR a identifié trois cibles de recherche en matière de défense, deux en Russie et une en Biélorussie. Les victimes russes sont membres d’une société de holding au sein du conglomérat de défense public russe appelé Rostec Corporation, la plus grande société de holding de l’industrie radio-électronique de Russie. L’activité principale des victimes russes est le développement et la fabrication de systèmes de guerre électronique, d’équipements radio-électroniques embarqués spécialisés dans le domaine militaire, de stations radar aériennes et de moyens d’identification de l’État. Les entités de recherche sont également impliquées dans les systèmes avioniques pour l’aviation civile, le développement d’une variété de produits civils tels que les équipements médicaux et les systèmes de contrôle pour l’énergie, le transport et les industries d’ingénierie.
Dans un premier temps, les attaquants envoient à leurs cibles un e-mail de phishing conçu spécialement. L’e-mail contient un document exploitant les sanctions occidentales contre la Russie en guise d’appât. Lorsque la victime ouvre le document, elle télécharge le code malveillant du serveur contrôlé par les attaquants, qui installe et exécute secrètement une porte dérobée sur la machine de la victime. Cette porte dérobée collecte les données relatives à la machine infectée et les renvoie à l’attaquant. Sur la base de ces informations, l’attaquant peut ensuite utiliser la backdoor pour exécuter des commandes supplémentaires sur la machine de la victime ou collecter des données sensibles sur celle-ci.
Les acteurs de la menace exploitent des e-mails malveillants de spear-phishing qui utilisent des techniques d’ingénierie sociale. Le 23 mars, des e-mails malveillants ont été envoyés à plusieurs instituts de recherche de la défense basés en Russie. Les e-mails, qui avaient pour objet « Liste des personnes de sous sanctions américaines pour avoir envahi l’Ukraine », contenaient un lien vers un site contrôlé par les attaquants imitant le ministère russe de la Santé et contenaient un document malveillant en pièce jointe. Le même jour, un e-mail similaire a également été envoyé à une entité inconnue à Minsk en Biélorussie, avec pour objet « Propagation par les États-Unis d’agents pathogènes mortels en Biélorussie ». Tous les documents joints sont conçus pour ressembler à des documents officiels du ministère russe de la Santé, arborant son logo et son intitulé officiels.
Les tactiques, techniques et procédures (TTP) de cette opération permettent à CPR d’effectuer une attribution à l’activité APT chinoise. La campagne de Twisted Panda présente de multiples chevauchements avec des acteurs chinois de cyber espionnage avancés et de longue date, dont APT10 et Mustang Panda.
Itay Cohen, responsable de la recherche chez Check Point Software : « Nous avons exposé une opération d’espionnage active contre des instituts de recherche de la défense russe menée par des acteurs de la menace expérimentés et complexes soutenus par la Chine. Notre enquête révèle qu’il s’agit d’une partie d’une opération plus vaste qui se poursuit contre des entités liées à la Russie depuis environ un an. Nous avons découvert deux institutions de recherche sur la défense ciblées en Russie et une entité en Biélorussie.
La partie la plus sophistiquée de la campagne est peut-être la composante d’ingénierie sociale. Le timing des attaques et les appâts utilisés sont astucieux. D’un point de vue technique, la qualité des outils et leur opacité sont supérieures à la moyenne, même pour les groupes APT. À mon avis, nos résultats constituent une preuve supplémentaire que l’espionnage est un effort systématique et sur le long terme au service des objectifs stratégiques de la Chine pour obtenir une supériorité technologique. Dans cette étude, nous avons vu comment les attaquants parrainés par l’État chinois profitent de la guerre en cours entre la Russie et l’Ukraine pour lancer des outils avancés contre ce qui est considéré comme un partenaire stratégique la Russie. »
