La société américaine de cybersécurité FireEye a déclaré qu’un groupe chinois avait mené une vaste campagne d’espionnage contre des entités israéliennes.
Les attaques ont visé des institutions gouvernementales israéliennes, des fournisseurs informatiques et des entreprises de télécommunications dans de multiples opérations simultanées à partir de janvier 2019, selon une analyse publiée mardi par FireEye, basé en Californie.
Les pirates ont procédé à la collecte et à la reconnaissance de données, probablement motivés par des intérêts financiers, technologiques et commerciaux. FireEye n’a pas signalé l’implication du gouvernement chinois, mais a déclaré que les cibles coïncidaient avec les intérêts de Pékin.
Au cours de la même campagne contre Israël, le groupe a attaqué des cibles en Iran, aux Émirats arabes unis et au Kazakhstan, et a peut-être cherché à attribuer les attaques à l’Iran.
FireEye a d’abord détecté le groupe d’espionnage chinois, appelé UNC215, effectuant les intrusions en exploitant une vulnérabilité de Microsoft SharePoint au début de 2019. Le groupe a utilisé ses outils malveillants personnalisés, appelés FOCUSFJORD et HYPERBRO, lors des attaques.
Après avoir pénétré par effraction dans un système, le groupe a volé un grand nombre d’informations d’identification d’utilisateurs et effectué une reconnaissance du réseau interne. Le logiciel malveillant HYPERBRO du groupe a été utilisé pour la collecte d’informations, telles que les captures d’écran et l’enregistrement au clavier.
L’UNC215 a utilisé de nouvelles tactiques, techniques et procédures dans la campagne, notamment en prenant des mesures pour couvrir ses traces, en exploitant des tiers de confiance et en plantant de faux drapeaux pour induire les analystes en erreur.
Lors d’une opération en 2019, les pirates ont exploité des tiers de confiance en utilisant des informations d’identification volées pour attaquer un réseau du gouvernement israélien.
FireEye a déclaré avoir travaillé avec les agences de défense israéliennes pour examiner les données sur les attaques et pense que le groupe de piratage est toujours actif dans la région.
L’UNC215 a déployé un outil associé à des acteurs iraniens, a utilisé le farsi et d’autres ont pris des mesures dans ce qui aurait pu être une tentative sous fausse bannière pour blâmer les attaquants iraniens.
Les attaques contre des entités israéliennes mettent en évidence « l’intérêt stratégique constant de Pékin au Moyen-Orient », a déclaré FireEye. « Le groupe cible les données et les organisations qui présentent un grand intérêt pour les objectifs financiers, diplomatiques et stratégiques de Pékin. »
L’espionnage se déroule dans le cadre de l’initiative d’infrastructure mondiale de la Ceinture et de la Route de la Chine et de l’intérêt du gouvernement pour le secteur technologique israélien.
FireEye a déclaré que la Chine avait mené des campagnes de piratage le long de la route de l’initiative « la Ceinture et la Route » pour surveiller les obstacles potentiels, y compris les problèmes politiques, économiques et de sécurité. La société de cybersécurité a déclaré qu’elle s’attend à ce que l’UNC215 cible davantage les gouvernements et les organisations liés à l’initiative d’infrastructure en Israël et au Moyen-Orient.
Le groupe est soupçonné d’avoir mené des attaques depuis au moins 2014 et pourrait être lié au groupe de piratage APT27, a déclaré FireEye. UNC215 a infiltré des organisations du monde entier travaillant dans le gouvernement, la technologie, les télécommunications, la défense, la finance, le divertissement et les soins de santé. Le groupe a des cibles dans tout le Moyen-Orient, ainsi qu’en Europe, en Asie et en Amérique du Nord, a déclaré FireEye.
Le mois dernier, les États-Unis et leurs alliés ont accusé la Chine de cyberespionnage généralisé. En mars, au moins 30 000 organisations américaines, y compris des gouvernements locaux, auraient été piratées dans le cadre d’une campagne chinoise de cyberespionnage qui exploitait également les failles des programmes Microsoft.
FireEye se présente comme « la société de sécurité axée sur le renseignement ». Il a déclaré avoir plus de 10 100 clients dans 103 pays, dont plus de la moitié des entreprises Forbes Global 2000.
Israël a été pris entre la Chine et les États-Unis ces dernières années, alors que les deux rivaux cherchent à exercer une influence mondiale tandis que Jérusalem tente de maintenir des relations amicales et des liens commerciaux.
Les responsables américains ont mis en garde contre les investissements chinois dans les entreprises technologiques israéliennes et leur implication dans les infrastructures israéliennes, en particulier les travaux d’une entreprise chinoise dans le port de Haïfa.
La Chine a également soumissionné ou participé à la construction de tunnels israéliens, de chemins de fer, d’usines de dessalement, de projets agricoles et d’infrastructures de réseau 5G.
Israël travaille depuis des années pour développer ses échanges avec la Chine, l’un des plus grands marchés du monde.
