Des hackers ciblent le gouvernement chinois sur la réponse au coronavirus

La société de cybersécurité FireEye a rapporté mercredi que des hackers liés au gouvernement vietnamien cibleraient prétendument des agences gouvernementales chinoises afin de collecter des renseignements sur la crise COVID-19.

Selon FireEye, un groupe de hackers « APT32 », également connu sous le nom de « Lotus Océan », qui serait en activité pour le compte du gouvernement vietnamien, a été impliqué dans une campagne de spear-phishing ciblant des membres du ministère chinois de la Gestion des Urgences et du gouvernement de Wuhan, épicentre de la pandémie de coronavirus.

« Ces attaques montrent que le virus est une priorité en matière de renseignement – tout le monde met tout en œuvre, et APT32 est ce que le Vietnam a », a déclaré FireEye dans un article de blog.

Les chercheurs de FireEye estiment qu’APT32 a mené des campagnes d’intrusion contre des cibles chinoises d’au moins janvier à avril 2020.

La société de sécurité a d’abord remarqué cette campagne le 6 janvier 2020, lorsque APT32 a envoyé un e-mail avec un lien de suivi intégré au ministère chinois de la Gestion des Urgences. Le lien intégré contenait l’adresse e-mail de la victime et un code pour signaler aux acteurs si l’e-mail était ouvert.

FireEye a également découvert des URL de suivi supplémentaires qui révélaient des cibles dans le gouvernement de Wuhan en Chine et un compte e-mail également associé au ministère de la Gestion des Urgences.

Les domaines dans les liens intégrés étaient les mêmes que ceux utilisés en décembre comme domaine de commande et de contrôle pour une campagne de phishing METALJACK ciblant probablement des pays d’Asie du Sud-Est.

« APT32 a probablement utilisé des pièces jointes malveillantes sur le thème de Covid-19 contre des cibles parlant chinois. Bien que nous n’ayons pas découvert toute la chaîne d’exécution, nous avons découvert un chargeur METALJACK affichant un document leurre intitulé Covid-19 en langue chinoise tout en lançant sa charge utile », a ajouté l’article de blog.

Le shellcode effectue une enquête système pour collecter le nom de l’ordinateur et le nom d’utilisateur de la victime, puis ajoute ces valeurs à une chaîne d’URL. Il tente ensuite de se connecter à l’URL. Si l’appel est réussi, le malware charge la charge utile METALJACK en mémoire.

« La crise COVID-19 pose une préoccupation intense et existentielle pour les gouvernements, et l’air actuel de méfiance amplifie les incertitudes, encourageant la collecte de renseignements à une échelle rivalisant avec les conflits armés. Les gouvernements nationaux, étatiques ou provinciaux, ainsi que les gouvernements locaux, les organisations non gouvernementales et les organisations internationales, sont ciblés. La recherche médicale a également été ciblée », a déclaré FireEye.

« Tant que cette crise ne sera pas terminée, nous prévoyons que l’espionnage cybernétique connexe continuera à s’intensifier à l’échelle mondiale. »

Cependant, jeudi, le ministère des Affaires étrangères du Vietnam a réagi au rapport de FireEye concernant le soutien aux hackers liés au gouvernement pour cibler des agences chinoises comme étant « sans fondement ».

« L’accusation est sans fondement », a déclaré le porte-parole du ministère des Affaires étrangères, Ngo Toan Thang, aux journalistes. « Le Vietnam interdit toutes les cyberattaques, qui doivent être dénoncées et traitées strictement par la loi. »

Thang a également ajouté que le Vietnam est prêt à coopérer avec des partenaires internationaux pour lutter contre les cyberattaques.