Google a déjoué une vaste opération mondiale de cyberespionnage. Orchestrée par des hackers chinois financés par Pékin, l’attaque a permis de pirater au moins 53 organisations dans 42 pays. Les pirates ont exploité Google Sheets pour rester invisible pendant une longue période.
Google révèle avoir démantelé une vaste opération d’espionnage liée à la Chine. L’opération a permis à des hackers chinois d’infiltrer au moins 53 organisations dans 42 pays différents. Derrière la campagne, on trouve un gang connu sous le nom d’UNC2814, aussi appelé « Gallium ». Financé par Pékin, le groupe criminel est actif depuis 2017. Il s’est spécialisé dans l’espionnage de cibles stratégiques pour le pouvoir chinois, en priorité des opérateurs télécoms étrangers et des organismes gouvernementaux. Une fois dans le système, les pirates vont rester sous le radar et surveiller des individus, intercepter les communications et collecter des données sensibles.
À lire aussi : Cyberattaques chinoises – des espions ont exploité une faille Dell sans se faire remarquer pendant 18 mois
Une cyberattaque qui repose sur… Google Sheets
La campagne repose en grande partie sur un tout nouveau cheval de Troie, baptisé « GRIDTIDE ». Une fois déployé dans le système de la victime, le virus va communiquer avec un document Google Sheets, directement par le biais de l’interface de programmation de Google. La feuille de calcul, mise en ligne par les cybercriminels chinois, contient des commandes chiffrées à destination du logiciel malveillant. Celui-ci va déchiffrer les commandes et obéir aux instructions des pirates. Directement dans le fichier Google Sheets, « GRIDTIDE » va transférer les données volées par ses soins.
Ensuite, le malware nettoie même les 1 000 premières lignes de la feuille de calcul pour effacer toute trace d’anciennes commandes ou données exfiltrées. Cette précaution permet au virus de passer sous le radar et de cacher ses activités aux chercheurs. Google souligne que l’attaque n’exploite pas « une faille de sécurité dans les produits Google », mais « détourne plutôt une fonctionnalité légitime ».
L’utilisation de Google Sheets permet à la cyberattaque de se dérouler dans le plus grand secret. Comme l’explique Google, le trafic généré par le virus ressemble à du trafic cloud parfaitement normal. De facto, les entreprises ne se rendent pas compte qu’un intrus communique avec une source externe à son réseau.
« Cette tactique est fréquemment utilisée par les acteurs malveillants pour dissimuler au mieux leurs intrusions. […] Ils s’appuient sur des services cloud légitimes, ce qui leur permet de faire fonctionner leur infrastructure d’attaque tout en donnant à leur trafic un aspect parfaitement légitime », déclare Google dans son rapport.
À lire aussi : Piratés à la sortie de l’usine – des milliers de smartphones ont été infectés par un malware chinois
Les données dans le viseur des hackers chinois
Parmi les principales données dans le viseur des hackers chinois, on trouve des informations typiquement détenues par des organisations gouvernementales, comme des noms complets, des numéros de téléphone, des dates et lieux de naissance, des numéros de carte d’électeur et des identifiants nationaux.
En piratant des opérateurs de télécommunications, les pirates cherchent par ailleurs à mettre la main sur des données relatives aux smartphones. Ces informations peuvent servir à pister la localisation d’un téléphone ou écouter des appels téléphoniques. Pour écouter les conversations, les pirates exploitent les mêmes outils que ceux employés par les forces de l’ordre.
La riposte de Google
Après avoir découvert les opérations menées par UNC2814, Google a préparé sa riposte. La contre-attaque a été confiée au Google Threat Intelligence Group (GTIG), l’équipe interne de Google dédiée à la recherche et à l’analyse des menaces, et à Mandiant, sa filiale de cybersécurité. Le géant de Mountain View explique avoir lancé une opération de « disruption » d’ampleur à l’encontre du gang chinois. Google a notamment fermé tous les projets Google Cloud contrôlés par les attaquants, coupant l’accès persistant aux environnements compromis.
Dans la foulée, l’entreprise a désactivé toute l’infrastructure connue du groupe et supprimé tous les comptes liés aux attaques. Sur le papier, le groupe n’est plus en mesure de lancer ses cyberattaques. Google ajoute que chaque victime a été alertée par ses soins. Enfin, les équipes de Google sont venues en aide aux entreprises compromises pour les aider à éjecter les pirates de leurs systèmes.
Pour Google, la cyberattaque « souligne la gravité de la menace qui pèse sur les secteurs des télécommunications et des gouvernements ». Les chercheurs précisent que les intrusions de ce type sont « généralement le fruit d’années d’efforts soutenus ». Il faudra du temps aux pirates chinois pour remonter la pente.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.