Une société de cybersécurité israélo-américaine a déclaré lundi avoir découvert une opération de piratage « massive », apparemment dirigée par un groupe de piratage soupçonné d’être soutenu par la Chine, qui s’était livré au vol de propriété intellectuelle (PI) et à l’espionnage industriel sur trois continents.
Cybereason, dont le siège est à Boston avec des bureaux à Tel Aviv, Londres et Tokyo, a déclaré que le groupe employait des méthodes sophistiquées et travaillait de manière insaisissable pour cibler des entreprises technologiques et manufacturières aux États-Unis, en Europe et en Asie et voler des informations exclusives sensibles.
Assaf Dahan, directeur principal et responsable de la recherche sur les menaces chez Cybereason, a déclaré au La Lettre Sépharade que l’anneau, connu sous le nom de groupe Winnti (et également suivi sous le nom d’APT41, Blackfly et Barium dans les cercles de cybersécurité) était « l’un des plus prolifiques et industrieux ». groupes dans le paysage des cybermenaces », et est connu pour agir au nom des intérêts de l’État chinois.
Le groupe est actif depuis au moins 2010. Certains membres connus du groupe ont été inculpés en 2020 par le ministère américain de la Justice pour crimes informatiques contre une centaine d’entreprises aux États-Unis et dans d’autres pays, notamment des sociétés de développement de logiciels, des fabricants de matériel informatique, des télécommunications. fournisseurs et sociétés de jeux.
Dahan a déclaré que les recherches de Cybereason ont montré que le groupe Winnti s’était livré à « le vol de propriété intellectuelle et le cyberespionnage à grande échelle » depuis au moins 2019, et peut-être avant. Cybereason a commencé ses recherches sur les opérations d’espionnage industriel du groupe l’année dernière, après avoir été alerté par l’une des entreprises ciblées que quelque chose de « funky » se tramait dans son réseau, a déclaré Dahan, qui est basé à Londres.
Il a expliqué que les chercheurs de Cybereason ont pu observer les efforts du groupe pour obtenir des données sensibles telles que les détails des brevets et des produits, les codes sources, les plans techniques et les instructions de fabrication en temps réel.
« Leur niveau de furtivité et de sophistication était très élevé », a déclaré Dahan, décrivant le mode opératoire du groupe dans le cadre de cette opération de piratage spécifique comme un « château de cartes » composé de plusieurs composants interconnectés et interdépendants.
« Il s’agit d’un processus de déploiement complexe où les composants doivent tous fonctionner ensemble dans un certain ordre. Il est très difficile à détecter car chaque composant [alone] ne semble pas malveillant. C’est un moyen intelligent d’échapper à la détection et cela a fonctionné – ils ont travaillé sans être détectés pendant trois ans », a déclaré Dahan.
Au cours de l’analyse, Cybereason a pu découvrir une « famille de logiciels malveillants » jusque-là non documentée, y compris une nouvelle version du logiciel malveillant Winnti appelée WINNKIT, que Dahan a décrit comme un « outil cyber très avancé d’origine chinoise, probablement du renseignement militaire ».
Le logiciel malveillant a permis aux pirates d’effectuer « la reconnaissance et le vidage des informations d’identification [to pull multiple passwords and login information], leur permettant de se déplacer latéralement dans le réseau », selon l’enquête de Cybereason, que la société a baptisée Operation CuckooBees. Le piratage « a permis aux attaquants de voler des informations hautement sensibles sur des serveurs et des terminaux critiques appartenant à des parties prenantes de premier plan ».
Dahan a déclaré que l’étendue des dommages causés aux entreprises ciblées était difficile à évaluer.
Cybereason a déclaré avoir informé le Federal Bureau of Investigation (FBI) et le ministère de la Justice de ses recherches.
Les nations occidentales, et en particulier les États-Unis et la Grande-Bretagne, ont au fil des ans accusé la Chine d’opérations de piratage à grande échelle visant à voler de grandes quantités de données, y compris des secrets commerciaux et des informations scientifiques ainsi que des détails privés sur les citoyens.
Un rapport de Bloomberg l’année dernière a détaillé comment les agents chinois ont pu percer de grandes entreprises en exploitant un important fournisseur de technologie américain.
En 2018, les autorités américaines ont inculpé deux pirates chinois présumés qui auraient agi au nom de la principale agence de renseignement de Pékin pour voler des secrets commerciaux et d’autres informations à des agences gouvernementales et à un who’s who de grandes entreprises aux États-Unis et près d’une douzaine d’autres pays. Les nations ciblées nommées dans l’acte d’accusation américain comprennent le Brésil, le Canada, la Finlande, la France, l’Allemagne, l’Inde, le Japon, la Suède, la Suisse et les Émirats arabes unis.
L’année dernière, Cybereason a révélé dans un rapport séparé que des groupes de piratage soutenus par l’État chinois avaient compromis au moins cinq sociétés de télécommunications mondiales, volant des enregistrements téléphoniques et des données de localisation.
Fondée en 2012, Cybereason a levé plus de 700 millions de dollars de capitaux au cours de la dernière décennie auprès d’investisseurs tels que GV, anciennement connu sous le nom de Google Ventures et la branche de capital-risque d’Alphabet, Softbank, CRV, Spark Capital, Lockheed Martin et Liberty Strategic Capital, la société de capital-investissement créée début 2021 par l’ancien secrétaire au Trésor américain Steven Mnuchin.
Cybereason utilise l’analyse comportementale et l’apprentissage automatique pour traiter les informations en temps réel et fournir une détection et une réponse étendues (XDR). Le logiciel peut indiquer aux entreprises si elles sont attaquées, évaluer l’impact et agir pour arrêter la menace, selon le site Web de l’entreprise.
Cybereason aurait déposé confidentiellement une offre publique initiale (IPO) en février qui pourrait valoriser la société à plus de 5 milliards de dollars.
