Pour gérer vos consentements :
Categories: Sécurité

Gestion informatique : cette externalisation porteuse de risques cyber

Avez-vous pensé à inclure vos fournisseurs dans l’analyse de votre risque cyber ?

PwC pose indirectement la question en conclusion d’un rapport publié avec le groupe britannique BAE Systems.

Ledit rapport attire l’attention sur des campagnes de cyberespionnage pilotées par un collectif de pirates qui semble être celui qu’on surnomme « APT10 » dans le monde de la sécurité IT. Plusieurs éléments – dont les heures de compilation de fichiers et d’enregistrement de noms de domaines – laisse supposer qu’il est basé en Chine*.

Les premières traces de ses activités remontent à fin 2009. Elles se concentraient alors sur la défense et les télécoms.

La cible s’est élargie à de nombreux autres secteurs de l’industrie, à l’appui d’un mode opératoire exploité notamment dans le cadre d’une opération baptisée « Cloud Hopper » : des attaques contre des prestataires de services de gestion informatique.

Ces prestataires ont généralement un accès direct et privilégié aux réseaux de leurs clients, avec des privilèges de niveau administrateur. APT10 en tire parti, plus particulièrement au travers des systèmes qui font l’interface (typiquement, ceux qui hébergent des identifiants de connexion).

Une fois infiltrés, les pirates repèrent les systèmes d’intérêt, mais en visent aussi de moins critiques afin d’assurer la persistance de leurs logiciels malveillants.

Les données à exfiltrer sont compressées en archives (RAR ou TAR) découpées en plusieurs fichiers et souvent dissimulées dans la corbeille. Elles sont ensuite déplacées sur l’infrastructure d’envergure mondiale dont APT10 a pris le contrôle.

Cloud Hopper pourrait avoir débuté dès 2014. Une demi-douzaine de pays ont été touchés en Europe. La France en fait partie.

Plusieurs noms de domaines exploités dans ce cadre partagent des plages d’adresses IP avec ceux impliqués dans une autre opération d’espionnage dirigée exclusivement contre des organisations japonaises. Le hameçonnage en a été le vecteur : les pirates se sont fait passer pour des organes publics tels que le Parti libéral-démocrate et le ministère des Affaires étrangères.

* Les données ciblées correspondent par ailleurs plus ou moins aux secteurs industriels stratégiques que Pékin avait définis dans son 13e plan quinquennal.

Crédit photo : mikemacmarketing via Visualhunt / CC BY

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago