Certains articles de veille peuvent faire l'objet de traduction automatique.
Étant donné que Facebook est interdit en Chine, l’entreprise peut sembler être une source improbable d’informations sur les campagnes de piratage chinoises contre la minorité ethnique ouïghoure du pays. Pourtant, mercredi, l’entreprise a annoncé qu’elle avait identifié de récentes campagnes d’espionnage visant la communauté ouïghoure, principalement des personnes vivant à l’étranger dans des pays comme l’Australie, le Canada, le Kazakhstan, la Syrie, les États-Unis et la Turquie. Selon Facebook, ces activités ont été menées par le groupe de pirates chinois Evil Eye, connu pour ses activités de piratage. des antécédents de cibler les Ouïghours.
Au milieu de l’année 2020, Facebook a trouvé des miettes de preuves concernant les attaques sur ses propres services : des comptes se faisant passer pour des étudiants, des militants, des journalistes et des membres de la communauté ouïghoure mondiale qui tentaient de contacter des victimes potentielles et de partager avec elles des liens malveillants. Les chercheurs de Facebook ont suivi ces miettes en dehors de l’écosystème de l’entreprise jusqu’aux efforts plus larges d’Evil Eye pour diffuser des logiciels malveillants et suivre les activités des Ouïghours.
« Nous avons considéré qu’il s’agissait d’une campagne extrêmement ciblée », déclare Mike Dvilyanski, qui dirige les enquêtes de cyberespionnage de Facebook. « Ils ont ciblé des communautés minoritaires spécifiques et ils ont effectué des vérifications pour s’assurer que les cibles de cette activité correspondaient à certains critères, comme la géolocalisation, les langues qu’ils parlaient ou les systèmes d’exploitation qu’ils utilisaient. »
Evil Eye, également connu sous les noms de Earth Empusa et PoisonCarp, est connu pour ses activités d’espionnage. assauts numériques incessants contre les Ouïghours.. Sa plus récente vague d’activité a commencé en 2019 et s’est intensifiée au début de 2020, alors même que la Chine plongeait dans les verrouillages liés au Covid-19.
Facebook a découvert de nombreuses approches utilisées par Evil Eye pour atteindre ses cibles. Le groupe a créé de faux sites Web ressemblant à des organes de presse ouïgours et turcs populaires et a distribué des logiciels malveillants par leur intermédiaire. Il a également compromis certains sites Web légitimes auxquels les Ouïghours vivant à l’étranger faisaient confiance et a utilisé ces sites populaires pour diffuser des logiciels malveillants. Les pirates chinois ont déjà utilisé cette technique, connue sous le nom d' »attaque par trou d’eau ». dans leurs efforts massifs pour surveiller les Ouïghours. Certains des sites web piratés par les attaquants utilisaient découverts précédemment Des exploits JavaScript pour installer le malware iOS connu sous le nom d’Insomnia sur les appareils cibles.
Les chercheurs ont également découvert des magasins d’applications Android imposteurs, conçus pour ressembler à des sources populaires d’applications liées à l’ouïghour, comme des claviers, des dictionnaires et des applications de prière axés sur la communauté. En réalité, ces boutiques d’applications malveillantes distribuaient des logiciels espions provenant de deux souches de logiciels malveillants Android connues sous le nom de ActionSpy et PluginPhantom, ce dernier ayant circulé sous diverses formes depuis des années.
L’analyse de Facebook a conduit l’entreprise à s’éloigner de ses propres plateformes. Son équipe d’enquête sur le cyberespionnage est allée jusqu’à attribuer le malware Android utilisé dans les campagnes Evil Eye à deux sociétés de développement : Beijing Best United Technology Co., Ltd. et Dalian 9Rush Technology Co., Ltd. Facebook affirme que les recherches de la société de renseignement sur les menaces FireEye ont contribué à la découverte de ces connexions. WIRED n’a pas pu joindre immédiatement les deux entreprises pour obtenir des commentaires. Facebook n’a pas formellement établi de lien entre Evil Eye et le gouvernement chinois lorsqu’il a annoncé ses conclusions mercredi.
» Dans ce cas, nous pouvons voir des liens clairs avec le… « . [malware development] entreprises, nous pouvons voir une attribution géographique basée sur l’activité, mais nous ne pouvons pas réellement prouver qui est derrière l’opération », explique Nathaniel Gleicher, responsable de la politique de sécurité de Facebook. « Donc ce que nous voulons faire, c’est donner les preuves que nous pouvons prouver. Et puis nous savons qu’il y a une communauté plus large qui peut l’analyser et arriver aux meilleures conclusions basées sur les modèles et les tactiques. »
Ben Read, directeur de l’analyse chez Mandiant Threat Intelligence de FireEye, a déclaré mercredi dans un communiqué : « Nous pensons que cette opération a été menée pour soutenir le gouvernement de la RPC, qui cible fréquemment la minorité ouïghoure par le biais d’activités de cyberespionnage. » Il a ajouté que les mêmes pirates sont également connus pour cibler d’autres groupes que le gouvernement chinois perçoit comme une menace pour son régime, comme les Tibétains et les militants pour la démocratie à Hong Kong.
Poster un commentaire