Des chercheurs en cybersécurité basés en Israël ont déclaré avoir découvert une campagne de cyberattaques en cours ciblant des cibles de premier plan dans la communauté ouïghoure, un groupe ethnique minoritaire turc, à la fois en Chine et au Pakistan.
Les Ouïghours sont un groupe originaire de la région autonome ouïghoure du Xinjiang, dans le nord-ouest de la Chine. Ils sont considérés comme l’une des 55 minorités ethniques officiellement reconnues en Chine, le Xinjiang abritant 12 millions de Ouïghours, dont la plupart sont musulmans. Ils sont opprimés par les politiques controversées du gouvernement chinois visant à les assimiler de force ainsi qu’à d’autres populations musulmanes. Pékin affirme que sa politique est nécessaire à cause des séparatistes qui veulent créer leur propre État. En avril, le groupe Human Rights Watch a déclaré que le gouvernement chinois commettait des crimes contre l’humanité contre les Ouïghours.
Dans le cadre de la campagne de pénétration des ordinateurs appartenant aux membres de la communauté ouïghoure, les assaillants envoient par courrier électronique des documents malveillants en utilisant faussement le nom des Nations Unies. Ils ont également créé un faux site Web de fondation des droits de l’homme appelé « Turkic Culture and Heritage Foundation », qui incite les gens à installer une porte dérobée sur le logiciel Windows exécuté sur leurs ordinateurs, permettant aux pirates d’accéder à leurs données.
Une fois la porte dérobée installée, les attaquants peuvent collecter presque toutes les informations qu’ils souhaitent, ainsi qu’installer des logiciels malveillants supplémentaires afin d’espionner leurs cibles, ont déclaré des chercheurs israéliens de Check Point Software Technologies et de Kaspersky Global Research and Analysis Team (GReAT). dit dans un article de blog. Les experts en cybersécurité suivent l’attaque depuis un an, ont-ils déclaré.
Les chercheurs ont déclaré avoir découvert qu’un document malveillant nommé UgyhurApplicationList.docx, qui portait le logo du Conseil des droits de l’homme des Nations Unies et était envoyé par e-mail aux cibles, comprenait un contenu leurre de l’Assemblée générale des Nations Unies sur les violations des droits de l’homme.
Les agresseurs ont également inventé la fausse organisation de défense des droits de l’homme appelée TCAHF, pour laquelle ils ont créé un faux site Web. TCAHF est censé être une organisation privée qui finance et soutient des groupes travaillant pour la culture turque et les droits de l’homme. La plupart du contenu de son site Web est copié d’un site Web légitime de la fondation « opensocietyfoundations.org » créée par Geroge Soros, qui compte parmi les plus grands bailleurs de fonds privés de groupes indépendants œuvrant pour la justice.
« La fonctionnalité malveillante du site Web du TCAHF est bien déguisée et n’apparaît que lorsque la victime tente de demander une subvention », ont déclaré les chercheurs. Le site Web affirme qu’il doit s’assurer que le système d’exploitation est sûr avant que la cible ne saisisse des informations sensibles, et leur demande donc de télécharger un programme pour analyser leur environnement. Une fois le programme téléchargé, l’accès aux ordinateurs est accordé aux pirates.
Les chercheurs ont déclaré qu’ils pensaient que la campagne malveillante visait à cibler la minorité ouïghoure ou les organisations qui les soutiennent. Ils ont déclaré n’avoir identifié « qu’une poignée de victimes » au Pakistan et au Xinjiang en Chine. Dans les deux cas, les victimes se trouvaient dans des régions majoritairement peuplées par la minorité ouïgoure.
Les experts en cybersécurité ont également déclaré qu’ils pensaient, « avec une confiance faible à moyenne », qu’une entité de langue chinoise, ou un acteur menaçant, était derrière les attaques, sur la base du code trouvé dans le document malveillant qui était identique au code qui apparaissait dans d’autres langues chinoises. forums.
« Ce que nous voyons ici, ce sont des cyberattaques ciblant les Ouïghours », a déclaré Lotem Finkelsteen, responsable du renseignement sur les menaces chez Check Point. « Ces attaques utilisent clairement le thème du Conseil des droits de l’homme des Nations Unies pour inciter ses cibles à télécharger des logiciels malveillants. »
« Nous pensons que ces cyberattaques sont motivées par l’espionnage, la fin de l’opération étant l’installation d’une porte dérobée dans les ordinateurs de cibles de premier plan dans la communauté ouïghoure », a déclaré Finkelsteen. « Les attaques sont conçues pour identifier les appareils infectés, y compris tous ses programmes en cours d’exécution. D’après ce que nous pouvons dire, ces attaques sont en cours et une nouvelle infrastructure est en cours de création pour ce qui ressemble à de futures attaques.
Check Point Software Technologies est la plus grande entreprise de cybersécurité d’Israël. Kaspersky Lab est une entreprise de cybersécurité basée en Russie qui dispose d’une équipe de recherche en Israël. Les équipes ont collaboré au projet.
