Une nouvelle recherche suggère qu’un outil de piratage précédemment développé par la National Security Agency a été volé il y a des années par un cyber groupe chinois prolifique et a ensuite été utilisé contre diverses cibles américaines.
Des chercheurs de la société de sécurité israélienne Check Point Research disent qu’ils ont trouvé des preuves qu’APT 31, un groupe de piratage chinois parrainé par l’État, a en quelque sorte retiré le code d’un outil de la NSA en 2014, puis l’a coopté et adapté pour ses propres opérations de piratage.
Les chercheurs ont surnommé l’outil «Jian». Il semblerait que «Jian» ait aidé les pirates à augmenter leurs privilèges, c’est-à-dire à pousser plus loin à l’intérieur du réseau ou du système compromis d’une victime. Check Point affirme qu’APT 31 l’a utilisé pendant au moins trois ans, de 2014 à 2017, lorsque Microsoft a corrigé la vulnérabilité qui lui était associée. Le géant américain de la défense Lockheed Martin est soupçonné d’être l’une des cibles de telles campagnes.
On pense que les cyberarmes de la NSA ont été volées par des groupes de piratage étrangers à plusieurs reprises auparavant. L’incident le plus tristement célèbre s’est produit en 2017, lorsque certains des cyber-outils les plus effrayants de l’agence étaient répandu partout sur Internet par un groupe se faisant appeler les «Shadow Brokers». Les mystérieux «Brokers» ont en quelque sorte réussi à mettre la main sur les outils utilisés par l’unité des opérations d’accès sur mesure (également appelée «Equation Group»), la cellule de piratage sophistiquée de l’agence chargée de développer des cyberarmes très avancées.
Les chercheurs de Check Point affirment que «Jian» est également un produit du groupe Equation, mais disent avoir «des preuves solides» que l’outil a été effectivement volé avant à la fuite «Shadow Brokers». Comme explication, les chercheurs avancent l’idée que la Chine aurait pu coopter les outils de la NSA si elle avait surpris l’agence américaine en train de les pirater. Ou, s’ils avaient surveillé une autre machine que la NSA essayait également de pirater. Les chercheurs écrivent:
Ayant daté les échantillons d’APT31 à 3 ans avant le Shadow Broker [leak]… notre estimation est que ces échantillons d’exploit d’Equation Group auraient pu être acquis par l’APT chinois de l’une des manières suivantes:
- Capturé lors d’une opération réseau Equation Group sur une cible chinoise.
- Capturé lors d’une opération du groupe Equation sur un réseau tiers qui a également été surveillé par l’APT chinois.
- Capturé par l’APT chinois lors d’une attaque contre l’infrastructure du groupe Equation.
Le groupe de hackers présumé derrière «Jian», APT 31, est connu pour se spécialiser dans le vol de propriété intellectuelle (le groupe passe aussi par des surnoms colorés tels que «Zirconium» et «Judgment Panda»). FireEye les décrit comme ayant une large gamme de cibles, y compris «le gouvernement, les organisations financières internationales et les organisations aérospatiales et de défense» et «la haute technologie, la construction et l’ingénierie, les télécommunications, les médias et les assurances». Le groupe a également précédemment lié aux hacks des campagnes présidentielles américaines, y compris celle de Joe Biden.
G / O Media peut obtenir une commission
.
Vous pouvez lire l’article original (en Angais) sur le bloggizmodo.com