Les pirates chinois utilisent le coronavirus pour s’en prendre à la Mongolie

Un groupe de pirates basés en Chine a tiré parti de la crise des coronavirus pour attaquer les secteurs public et des télécommunications en Mongolie en usurpant l’identité du ministère des Affaires étrangères du pays, selon la firme de cybersécurité Check Point.

L’attaque, que les chercheurs de Check Point ont surnommée « Panda-19 », a falsifié deux documents du ministre mongol des Affaires étrangères. Les documents étaient déguisés en mises à jour sur la prévalence des cas de coronavirus en Mongolie, mais leur ouverture infecterait l’ordinateur de la cible avec un outil appelé RoyalRoad, qui reprendrait les appareils à l’insu des utilisateurs.

Les pirates, qui n’ont pas été identifiés, sont en opération depuis 2016 – et l’épidémie du virus ne les a pas ralentis.

« Il semble que la situation en Chine n’affecte pas ce groupe », a déclaré à BuzzFeed News Lotem Finkelstein, responsable des renseignements sur les menaces à Check Point.

« On ne sait toujours pas pourquoi ils ciblaient ces organisations spécifiques », a déclaré Finkelstein. « Mais nous savons qu’ils essayaient de voler des documents et de contrôler à distance ces systèmes. »

Une fois la pièce jointe dans l’e-mail ouverte et téléchargée, les logiciels malveillants contrôleraient l’ordinateur infecté, permettant aux attaquants de prendre des captures d’écran et de voler des informations. Selon Finkelstein, l’accès à distance est une «capacité très avancée».

À la suite de l’attaque de Panda-19, Finkelstein a déclaré qu’ils étaient en mesure de prendre les empreintes digitales du groupe, ce qui signifie qu’ils peuvent désormais le suivre plus loin et aider à déjouer les futures attaques. Les pirates chinois, auparavant connus pour leurs opérations dans l’hémisphère oriental, recherchent fréquemment des cibles de premier plan comme les entreprises de télécommunications russes et des cibles en Ukraine et en Biélorussie.

Les attaques de piratage de coronavirus vont empirer avant de s’améliorer, a déclaré Finkelstein. « Nous les avons vus actifs pendant quatre ans sans intention d’arrêter », a-t-il déclaré. « Nous pensons donc qu’ils utiliseront la situation des coronavirus [because] c’est très efficace. »

Check Point a également suivi les enregistrements de domaines malveillants à l’aide de mots clés COVID-19. Une autre entreprise, Reason Cybersecurity, a suivi de faux sites Web de suivi de coronavirus mis en place par des pirates informatiques tentant d’infecter les utilisateurs avec des logiciels malveillants. Les données sont authentiques, Hacker News a rapporté – mais si les utilisateurs téléchargeaient l’application, leurs mots de passe seraient volés.

D’autres chercheurs ont également signalé une grande quantité d’e-mails de phishing utilisant le coronavirus comme leurres. Ces attaquants ont usurpé l’identité du CDC, l’Organisation mondiale de la santé et les cadres ou membres des départements RH.

«Le coronavirus a été épuisant pour nous», a précédemment déclaré à BuzzFeed News Sherrod DeGrippo, directeur principal de l’équipe de recherche et de détection des menaces chez Proofpoint.