Un groupe de piratage chinois cible des sites web tibétains lors d’une attaque de logiciels malveillants, indique un groupe de cybersécurité.
Un groupe de pirates informatiques, soupçonné d’être parrainé par l’État chinois, a compromis deux sites web liés à la communauté tibétaine dans le but d’installer des logiciels malveillants sur les ordinateurs des utilisateurs, selon les conclusions publiées mercredi par une société privée de cybersécurité. L’attaque des sites web du Tibet Post et de l’Université Tantrique Gyudmed semble viser à obtenir l’accès aux ordinateurs des personnes visitant ces sites pour obtenir des informations sur elles et leurs activités, selon l’analyse du groupe Insikt, la division de recherche sur les menaces de la société de cybersécurité basée dans le Massachusetts, Recorded Future.
Les hackers, connus dans le rapport sous le nom de TAG-112, ont compromis les sites web de manière à ce que les visiteurs soient invités à télécharger un fichier exécutable malveillant déguisé en certificat de sécurité, a déclaré le groupe Insikt. Une fois ouvert, le fichier charge un logiciel malveillant Cobalt Strike Beacon sur l’ordinateur de l’utilisateur qui peut être utilisé pour le keylogging, le transfert de fichiers et d’autres fonctions, y compris le déploiement de logiciels malveillants supplémentaires.
« Bien que nous n’ayons pas de visibilité sur l’activité que TAG-112 a menée sur les appareils compromis dans cette campagne, étant donné leur mission probable d’espionnage cybernétique et le ciblage de la communauté tibétaine, il est presque certain qu’ils étaient engagés dans la collecte d’informations et/ou la surveillance plutôt que dans des attaques destructrices », a déclaré Jon Condra, directeur principal du groupe Insikt, à l’Associated Press.
Selon la recherche du groupe Insikt, les sites ont été d’abord compromis fin mai et les attaques présentent de nombreux chevauchements avec un groupe de pirates informatiques précédemment suivi connu sous le nom de TAG-102, ce qui a mené les analystes à conclure qu’il s’agit d’un sous-groupe du groupe déjà connu « travaillant aux mêmes ou à des exigences d’intelligence similaires », a déclaré le groupe Insikt.
TAG-102, connu sous plusieurs noms tels que Evasive Panda et StormBamboo, est en opération depuis au moins 2012, et est largement considéré comme un groupe d’APT (menace persistante avancée) parrainé par la Chine, a déclaré le groupe Insikt.
Les universités et le site d’information, situés en Inde, ont été informés par le groupe Insikt du piratage. À partir de cette semaine, il semble que l’Université Tantrique Gyudmed, qui est un lieu d’apprentissage sur le bouddhisme tibétain, la langue, l’histoire et la culture, a résolu le problème tandis que le site d’information restait compromis, a déclaré Condra.
La publication d’informations sur les droits de l’homme peut être cruciale pour éveiller les consciences et protéger les peuples vulnérables. La communauté internationale doit se mobiliser pour protéger les droits des Tibétains et d’autres groupes opprimés contre de telles attaques en ligne et violations flagrantes de la vie privée.
