D’après SecureWorks, des groupes de hackeurs ayant des accointances avec le pouvoir chinois utilisent des rançongiciels pour masquer des activités d’espionnage et de vol de propriété intellectuelle.
Connu depuis 7 ans déjà, le logiciel malveillant HUI Loader, a été lié pour la première fois à plusieurs groupes de pirates parrainés par l'État Chinois d’après les recherches de SecureWorks.
Les chercheurs ont mis à jour des liens entre les attaques et des groupes gérés par Pékin. Des campagnes utilisant Hui-Loader ont par exemple été attribuées à Bronze Starlight. Un groupe de pirates ayant des accointances avec le ministère chinois de la Sécurité d'État (MSS). « Le groupe de menaces Bronze Riverside est probablement responsable d'un cluster, qui se concentre sur le vol de propriété intellectuelle d'organisations japonaises. L'autre cluster implique le déploiement des rançongiciels post-intrusion LockFile, AtomSilo, Rook, Night Sky et Pandora. Les chercheurs de la CTU™ attribuent cette activité au groupe de menace chinois Bronze Starlight. », détaille le rapport.
Les chercheurs ont identifié plusieurs victimes desdits groupes aux États-Unis comprenant une société pharmaceutique et un cabinet d'avocats, et une société de médias basée à Hong Kong et en Chine. Ce sont aussi des concepteurs et fabricants de composants électroniques au Japon et en Lituanie qui ont été ciblés.
Ransomware de façade
D'après le rapport, le malware fonctionne comme une attaque par fichier DLL. HUI Loader se cache dans un fichier a priori au-delà de tout soupçon et est diffusé par phising ou par un exploit de vulnérabilité logicielle. Une fois installé et exécuté, il extrait un logiciel malveillant qui va copier, télécharger et crypter les données du système hôte. Classique.
Les chercheurs avancent cependant que le but des attaques visent à subtiliser des données confidentielles aux victimes en se dissimulant derrière une attaque par ransomware. Et ce, afin de détourner l’attention du véritable commanditaire de l’attaque. « La victimologie, la courte durée de vie de chaque famille de rançongiciels et l'accès aux logiciels malveillants utilisés par les groupes de menaces parrainés par le gouvernement suggèrent » que la principale motivation des hackeurs serait le vol de propriété intellectuelle ou le cyberespionnage « plutôt que le gain financier ».