L’État chinois est « probablement » lié à des cyber-espions visant des défenseurs des droits humains | Actualités scientifiques et technologiques

Par Alexander J Martin, journaliste technologique, Deborah Haynes, rédactrice des affaires étrangères

Un groupe de cyber-espions « probablement » lié à l’État chinois a ciblé des militants des droits de l’homme travaillant sur des questions concernant le pays depuis jusqu’à cinq ans, selon un nouveau rapport.

Le groupe d’espionnage, surnommé le président de bronze, a déployé des logiciels malveillants contre ses victimes présumées pour surveiller leurs activités et voler des documents, selon l’évaluation publiée dimanche par Secureworks, une société américaine de cybersécurité.

L’une des cibles présumées serait un groupe de défense des droits de l’homme qui a fait part de ses préoccupations concernant le traitement de centaines de milliers d’Ouïghours et d’autres minorités musulmanes en Chine. Il a également écrit sur les militants pro-démocratie à Hong Kong.

L’organisation non gouvernementale (ONG) a demandé à ne pas être nommée au sujet du rapport.

Secureworks a déclaré être au courant d’une « poignée » d’ONG qui, selon elle, avaient été ciblées mais dont le nombre pourrait être plus élevé. La société de sécurité a aidé certaines des cibles présumées à faire face à la cyberattaque et à en comprendre davantage.

« La motivation pour rendre public ce rapport est que la nature des victimes a un réel élément humain », a déclaré Mike McLellan, expert en renseignement sur les menaces chez Secureworks.

« Beaucoup de ces organisations travaillent dans des environnements très dangereux, elles parlent à des personnes sur le terrain, elles doivent prendre les informations personnelles sur ces personnes et les protéger », a-t-il déclaré.

« Nous voulions vraiment nous assurer que d’autres organisations dans le domaine des ONG soient [cyber espionage] campagne et sont en mesure de vérifier et de voir si elles peuvent également avoir été affectées. L’impact de ce passage inaperçu pourrait être très important pour ces organisations et les personnes avec lesquelles elles travaillent. « 

Outre des ONG, les cyberespions auraient également visé des organismes d’application de la loi et des entités politiques opérant dans des pays voisins de la Chine, notamment l’Inde et la Mongolie, selon le rapport.

Secureworks a déclaré que ses chercheurs observaient les activités du groupe de cyberespionnage depuis le milieu de 2018, mais que la campagne aurait pu commencer dès 2014.

« Il est fort probable que le président Bronze soit basé dans le [People’s Republic of China] RPC « , indique le rapport.

Cette conclusion était fondée sur le fait que les ONG auraient ciblé toutes les « recherches sur des questions pertinentes » pour Pékin ainsi que des « preuves solides » reliant l’infrastructure du groupe d’espionnage à des entités en Chine, selon le document.

Un autre facteur était « les connexions entre un sous-ensemble de l’infrastructure opérationnelle du groupe et les fournisseurs de services Internet basés en RPC », a-t-il déclaré.

En outre, Secureworks a déclaré que les outils utilisés par les cyber-attaquants « ont toujours été exploités par des groupes de menaces opérant en RPC ».

Le rapport conclut: « Il est probable que le président de bronze soit parrainé ou au moins toléré par le gouvernement chinois. Le ciblage systémique à long terme du groupe menaçant des ONG et des réseaux politiques ne correspond pas aux groupes de menaces patriotiques ou criminels. »

M. McLellan, directeur de la cellule de cyberintelligence de l’unité de contre-menace de Secureworks, a déclaré que la société était « aussi confiante que possible que la Chine est responsable de cette campagne et de ces attaques ».

Il a dit qu’un facteur possible dans la décision de cibler les ONG aurait pu être le travail qu’ils faisaient sur les questions liées à Hong Kong – qui a été consommé par les manifestations anti-gouvernementales – ainsi que sur la minorité musulmane chinoise d’Uighar.

« Je pense que le gouvernement chinois va essayer de recueillir des informations sur ce genre d’événements », a déclaré M. McLellan. « Il voudra comprendre comment les opposants pensent, comment les partenaires régionaux pourraient penser et l’une des façons de le faire est d’aller chercher des informations par des moyens tels que les cyberattaques… Je pense qu’il y a toutes les chances que ce genre de réel les événements mondiaux sont tous liés à la même campagne que nous avons vue ici. « 

Secureworks a déclaré que ses chercheurs avaient découvert des logiciels malveillants qu’ils n’avaient jamais vus auparavant lors d’une enquête sur les actions présumées du groupe des cyber-espions.

Cela suggère qu’il pourrait être en mesure de développer ses propres capacités plutôt que de simplement s’appuyer sur des logiciels malveillants largement disponibles, selon le rapport. Les agresseurs auraient utilisé une combinaison de cyber-outils largement disponibles ainsi que ce qui semble avoir été leur propre kit pour accéder aux réseaux de leurs victimes présumées.

Après avoir compromis un réseau informatique « ce qu’ils ont fait, c’est voler des informations », a déclaré M. McLellan.

« Ils se sont penchés sur des documents particuliers – donc des présentations PowerPoint, des documents Word, ce genre de choses – qui donneraient un aperçu, nous en avons conclu, du travail de ces organisations, en particulier en ce qui concerne la Chine », a-t-il déclaré.

« L’intention ici était le vol d’informations. »

Sky News a contacté l’ambassade de Chine à Londres et le ministère chinois des Affaires étrangères pour obtenir une réponse aux allégations de Secureworks.