Il est fort probable que des pirates chinois aient volé des quantités inconnues de données militaires secrètes russes. Une faille relativement ancienne dans le logiciel Microsoft Office a été utilisée en combinaison avec des e-mails de phishing soigneusement conçus.
Cette annonce provient d’un site Web CNews, qui fait référence à une enquête publiée par l’équipe de recherche sur la cybersécurité de Kaspersky ICS CERT.
La nouvelle publiée ne divulgue aucun détail précis sur l’ampleur des dommages causés lors de cette cyberattaque à grande échelle, bien que note que l’attaque visait plusieurs entreprises industrielles travaillant dans un secteur militaire, ainsi que des agences gouvernementales et des instituts de recherche du Fédération Russe.
La vulnérabilité utilisée pour effectuer l’attaque est connue sous le nom de code CVE-2017-11882. Il a été détecté pour la première fois en 2017, mais il semble qu’il ne soit toujours pas fixé, même lorsque le degré de gravité et le niveau de risque sont jugés trop élevés.
L’attaque était menée depuis janvier 2022 par un groupe lié à la Chine TA428, qui, au moins dans une certaine mesure, semble être spécialisé dans des campagnes similaires contre des pays d’Europe de l’Est, dont la Russie. Selon les experts de Kaspersky, les pirates “ont réussi à s’infiltrer dans des dizaines d’entreprises, voire à s’emparer complètement de l’infrastructure informatique et à prendre le contrôle des systèmes de gestion des solutions de sécurité”.
Fait intéressant, pour cette activité particulière, TA428 s’était préparé de manière très approfondie. Des fichiers malveillants ont été envoyés à l’aide d’e-mails de phishing visant à propager le virus PortDoor, capable de voler des données et d’effectuer des opérations d’espionnage.
Le texte contenu dans les e-mails a été conçu sans aucune erreur évidente et comprenait plusieurs éléments de données spécifiques (telles que des noms et des informations sur l’organisation) généralement inaccessibles aux étrangers. Il y a de fortes chances que ces détails sensibles ou même l’intégralité des échantillons d’e-mails aient été volés par TA428 lors d’attaques antérieures contre d’autres entreprises affiliées.
Selon le rapport, l’attaque est passée inaperçue pendant plusieurs mois, de sorte qu’on ne peut qu’imaginer la quantité et l’étendue des informations qui ont été volées. Les noms des entreprises concernées ne sont pas divulgués.
Source ; https://www.technology.org/
