(Washington) Un groupe de cyberattaquants, visiblement lié à l’État chinois, est responsable d’une vaste campagne d’espionnage informatique visant notamment des agences gouvernementales de plusieurs pays représentant un intérêt stratégique pour Pékin, affirme jeudi un rapport d’une filiale de Google.
« Il s’agit de la plus large campagne de cyberespionnage connue menée par un acteur malveillant lié à la Chine depuis l’exploitation massive de Microsoft Exchange début 2021 », a déclaré dans un communiqué Charles Carmakal, directeur technique de Mandiant, spécialiste en cybersécurité qui dépend du géant américain de la techno.
« Pour une partie des victimes, (les attaquants) ont volé les courriels d’employés importants travaillant sur des dossiers intéressant le gouvernement chinois, » a-t-il ajouté.
L’entreprise estime avec un « haut degré de confiance » que le groupe responsable de l’attaque, menée par courriel, « a mené des activités d’espionnage en soutien à la Chine », peut-on lire dans le rapport publié en ligne.
Les attaquants « ont visé agressivement des données précises pour les exfiltrer » de chez des victimes « situées dans au moins 16 pays différents », une attaque « qui a touché des organisations dans les secteurs publics et privés partout dans le monde ».
Agences gouvernementales visées
Les victimes sont pour « près d’un tiers » des agences gouvernementales selon Mandiant, ce qui soutient, selon le spécialiste, l’hypothèse selon laquelle cette attaque a été menée à des « fins d’espionnage. »
Le choix des cibles est directement lié aux « questions hautement prioritaires pour la Chine, tout particulièrement dans la région Asie-Pacifique, dont Taïwan », relève la filiale de Google Cloud.
Les victimes sont notamment des ministères des Affaires étrangères des pays de l’Association des nations de l’Asie du Sud-Est (Asean), ainsi que des organisations de recherche et des missions commerciales étrangères installées à Taïwan et à Hong Kong.
L’attaque, menée via des courriels infectés, est parvenue à déceler une brèche dans des outils de filtre et d’analyse des courriels et de leurs pièces jointes, des logiciels de l’entreprise Barracuda.
L’intrusion, débutée dès octobre 2022, a été détectée en mai, et le groupe d’attaquants a poursuivi son travail pour tenter de maintenir son accès dans les systèmes malgré les tentatives de colmatage de la brèche numérique, selon Mandiant.
« Nous continuons de voir des preuves d’activité malveillante » dans certains systèmes, a fait savoir jeudi Barracuda dans un communiqué.
La Chine se dit aussi victime
Le piratage début 2021 de Microsoft Exchange, attribué à un groupe de pirates chinois soutenus par Pékin, avait affecté au moins 30 000 organisations américaines, y compris des entreprises, des villes et collectivités locales aux États-Unis.
Plusieurs agences fédérales américaines figurent par ailleurs parmi les entités ciblées par une cyberattaque visiblement distincte, rapportait jeudi la chaîne américaine CNN.
Contacté par l’AFP, le porte-parole du conseil de sécurité nationale de la Maison-Blanche, Adam Hodge, a indiqué que l’agence américaine de cybersécurité (CISA) et la police fédérale (FBI) avaient « publié une alerte de cybersécurité […] pour aider les entreprises et agences gouvernementales à rapidement identifier les vulnérabilités et les résoudre ».
« L’administration Biden-Harris s’est consacrée sans relâche à améliorer la cybersécurité du pays et la sécurité des logiciels que nous utilisons tous », a-t-il ajouté.
Les pays occidentaux s’inquiètent de plus en plus des manœuvres de Pékin dans le cyberespace.
Fin mai, les États-Unis et leurs alliés occidentaux ont accusé un « cyberacteur » parrainé par la Chine d’avoir infiltré des « infrastructures critiques » américaines. Pékin avait alors fermement démenti et dénoncé une « campagne de désinformation ».
Et jeudi, la Commission européenne a estimé que les fournisseurs chinois d’équipements télécoms Huawei et ZTE représentaient un risque pour la sécurité de l’UE et a annoncé qu’elle ne souscrirait plus de services de téléphonie mobile s’appuyant sur les matériels de ces entreprises.
La Chine dit régulièrement être elle-même victime de nombreuses cyberattaques.
En septembre, elle avait notamment accusé les États-Unis d’en avoir mené des « dizaines de milliers » contre ses intérêts, certaines ayant permis selon elle de dérober des données sensibles, notamment d’une université chinoise de recherche.
La publication du rapport de Mandiant intervient quelques jours avant que le chef de la diplomatie américaine Antony Blinken ne se rende en Chine avec l’ambition de renouer le dialogue avec Pékin après plusieurs mois de fortes tensions, depuis l’incident du ballon en février.