Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Jun 11, 2024
Taïwan visé par la RPC
Des chercheurs ont déclaré à Tech Monitor que la campagne Flax Typhoon montre un abandon du cyberespionnage au profit des « opérations d'information ». Par Claudia Glover Preuve d'une campagne de cyberespionnage menée par les Chinois
Des chercheurs ont déclaré à Tech Monitor que la campagne Flax Typhoon montre un abandon du cyberespionnage au profit des « opérations d'information ».
Par Claudia Glover
Des preuves d'une campagne de cyberespionnage menée par le gang de cybercriminalité Flax Typhoon, lié au gouvernement chinois, ont été découvertes dans des dizaines d'organisations à Taiwan, a averti Microsoft Threat Intelligence. L’opération est active depuis mi-2021.
Microsoft a averti que les entreprises devraient prêter attention aux techniques utilisées par Flax Typhoon, car les indicateurs de compromission par le gang de cybercriminalité sont si courants au sein d'un système qu'ils sont facilement négligés. Les chercheurs ont en outre noté que les attaques du Flax Typhoon témoignent d’une tentative de déni plausible de la part de cybergangs soutenus par l’État et liés au gouvernement chinois, parallèlement à un changement d’orientation du cyber-espionnage de base vers des « opérations d’information » plus complexes.
La République populaire de Chine continentale considère Taiwan comme une province renégat et a déjà lancé des campagnes de cyberespionnage et de DDoS contre cette nation insulaire. L'objectif de la campagne de Flax Typhoon semble non seulement obtenir l'accès à des données sensibles, mais également « maintenir l'accès aux organisations dans un large éventail de secteurs aussi longtemps que possible », selon Microsoft.
Les industries ciblées par Flax Typhoon comprennent la fabrication, l'éducation, les organisations de technologie de l'information et les agences gouvernementales de Taiwan. Microsoft note également que des entreprises ont été ciblées en Amérique du Nord, en Asie du Sud-Est et en Afrique.
"Flax Typhoon obtient et maintient un accès à long terme aux réseaux des organisations taïwanaises avec une utilisation minimale de logiciels malveillants, en s'appuyant sur des outils intégrés au système d'exploitation, ainsi que sur des logiciels normalement inoffensifs pour rester discrètement dans ces réseaux", indique le message. "Microsoft n'a pas observé Flax Typhoon utilisant cet accès pour mener des actions supplémentaires."
L'entreprise a expliqué qu'elle choisissait de mettre en avant cette activité dès maintenant pour exprimer son inquiétude quant au potentiel d'impact supplémentaire sur ses clients. "Bien que notre visibilité sur ces menaces nous ait donné la possibilité de déployer des détections auprès de nos clients, le manque de visibilité sur d'autres parties de l'activité de l'acteur nous a obligés à sensibiliser davantage la communauté à des enquêtes et des protections plus approfondies dans l'ensemble de l'écosystème de sécurité", le blog dit.
De telles attaques indiquent un éloignement du cyberespionnage chinois d'antan, explique Alan Liska, responsable de l'équipe d'intervention en cas d'urgence informatique de la société de sécurité Recorded Future. « Ce que nous constatons, c'est une expansion des opérations d'information chinoises, car il y a toujours l'espionnage traditionnel, mais vous voyez également un côté plus agressif », a-t-il déclaré à Tech Monitor.
Ceci est associé à une tentative de déni plausible dans les techniques de Flax Typhoon, poursuit-il. « Comme vous pouvez le constater dans le rapport, ils utilisent de nombreux outils prêts à l'emploi, facilement disponibles et que tout cybercriminel utiliserait, ce qui donne à [la RPC] la possibilité de se distancier quelque peu de ces attaques », explique Liska. .
La nouvelle de cette campagne fait suite à celle d'un autre groupe de cybercriminalité chinois appelé Volt Typhoon, qui a suscité l'inquiétude internationale lorsque son malware a été détecté dans différents éléments de l'infrastructure militaire américaine. En mai, les agences de cybersécurité de l’alliance de renseignement Five Eyes ont également publié un avis avertissant que Volt Typhoon pourrait fonctionner sans être détecté sur des réseaux cruciaux pendant de longues périodes.
Jen Easterly, actuelle directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), a fait remarquer que l'attaque du Volt Typhoon et d'autres similaires indiquent un changement dans les cybertactiques de la Chine, passant de l'espionnage à l'agression.
« Nous parlons de décennies de vol de propriété intellectuelle et du plus grand transfert de richesse intellectuelle depuis des décennies », a-t-elle déclaré. Cependant, l’accent est actuellement mis « moins sur l’espionnage que sur la perturbation et la destruction », a-t-elle déclaré aux délégués lors du sommet de l’Aspen Institute of Culture en juin.