Nuages de tromperie : la neutralisation mondiale par Google d’un réseau d’espionnage chinois

Tout a commencé par un murmure à travers les réseaux mondiaux : les géants des télécoms et les agences gouvernementales de dizaines de pays n’ont rien remarqué d’anormal. Mais sous la surface, une campagne sophistiquée de cyber-espionnage - s’étendant sur quatre continents - siphonnait discrètement des données sensibles. Cette semaine, Google et ses partenaires ont exposé et perturbé cette opération de l’ombre, révélant l’ampleur et la ruse d’un groupe de hackers lié à l’État chinois, connu sous le nom d’UNC2814.

Anatomie d’une brèche mondiale

La campagne d’UNC2814 était à la fois audacieuse et subtile. Active depuis au moins 2017, le groupe ciblait des télécoms stratégiques et des agences gouvernementales - sources privilégiées de communications sensibles et d’informations personnelles. Contrairement aux cybercriminels opportunistes, leur objectif était un accès à long terme, la surveillance et la collecte de renseignements, reprenant les codes de l’espionnage d’État.

Ce qui distinguait cette campagne était le déploiement d’une nouvelle porte dérobée, GRIDTIDE. Plutôt que de s’appuyer sur des failles évidentes, les hackers détournaient des appels API légitimes de Google Sheets pour camoufler leur trafic malveillant dans le flux quotidien d’activité cloud. Le code de GRIDTIDE, écrit en C, pouvait exécuter des commandes, transférer des fichiers et exfiltrer des données - tout en dissimulant ses traces dans des requêtes de feuilles de calcul anodines.

Les enquêteurs ont découvert que l’infection commençait généralement par la compromission de systèmes exposés à Internet, exploitant des serveurs web faibles et des équipements en périphérie. Une fois à l’intérieur, les attaquants utilisaient un binaire malveillant (“xapt”) pour reconnaître la cible, puis installaient GRIDTIDE pour un accès persistant via un service système déguisé. Les déplacements latéraux étaient facilités par des identifiants volés et des VPN chiffrés, permettant aux hackers de s’enfoncer plus profondément dans les réseaux hébergeant de grandes quantités d’informations personnelles identifiables (PII).

Peut-être le plus inquiétant était la nature des données volées : noms complets, numéros de téléphone, dates de naissance et identifiants nationaux - un matériau idéal pour la surveillance, le suivi et d’autres exploitations. Cela rappelle les précédentes campagnes liées à la Chine qui exploitaient les réseaux télécoms pour une surveillance de masse, allant jusqu’à détourner des systèmes d’interception légale pour traquer dissidents et cibles de valeur.

La riposte de Google

Le Threat Intelligence Group de Google, Mandiant et des partenaires industriels ont coordonné une vaste opération de neutralisation. Ils ont supprimé tous les projets Google Cloud contrôlés par les attaquants, désactivé les comptes malveillants et révoqué l’accès abusif aux API. Les domaines et infrastructures liés à UNC2814 ont été “sinkholés” - neutralisant les opérations actuelles et passées. Les organisations affectées ont reçu des alertes et un accompagnement direct, tandis que des signatures de détection étaient publiées pour aider les défenseurs à traquer les menaces persistantes.

Mais l’histoire n’est pas terminée. Les experts préviennent que la portée mondiale et la sophistication technique d’UNC2814 signifient qu’il réapparaîtra probablement, adaptant ses outils et méthodes pour de futures campagnes. Cet épisode rappelle crûment qu’à l’ère du cloud, les attaquants innovent aussi vite que les défenseurs.

Conclusion

La neutralisation d’UNC2814 par Google offre un rare aperçu du monde à haut risque de l’espionnage cybernétique, où le cloud est à la fois champ de bataille et arme. Tandis que les défenseurs s’empressent de colmater les brèches, le jeu du chat et de la souris continue - preuve qu’en cybersécurité, la prochaine intrusion est peut-être déjà en cours.

WIKICROOK

• Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
• Porte dérobée : Une porte dérobée est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
• API (Interface de Programmation d’Applications) : Une API est un ensemble de règles permettant à différents systèmes logiciels de communiquer, servant de pont entre applications. Les API sont des cibles courantes en cybersécurité.
• Persistance : La persistance regroupe les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.
• Sinkholing : Le sinkholing redirige le trafic malveillant vers des serveurs contrôlés par les défenseurs, perturbant les cyberattaques et permettant aux équipes de sécurité de surveiller et analyser les menaces en toute sécurité.