Une campagne de piratage informatique liée au gouvernement chinois révélée par Microsoft cette semaine s’est accélérée rapidement. Au moins quatre autres groupes de hackers distincts s’attaquent désormais à des failles critiques du logiciel de messagerie de Microsoft dans une cyber-campagne que le gouvernement américain décrit comme une «exploitation nationale et internationale généralisée» avec le potentiel d’impacter des centaines de milliers de victimes dans le monde.
À partir de janvier 2021, des pirates chinois connus sous le nom de Hafnium ont commencé à exploiter les vulnérabilités des serveurs Microsoft Exchange. Mais depuis que l’entreprise publiquement révélé mardi, quatre autres groupes se sont joints à la campagne et les hackers chinois d’origine ont abandonné la prétention de furtivité et augmenté le nombre d’attaques qu’ils mènent. La liste croissante des victimes comprend des dizaines de milliers d’entreprises et de bureaux gouvernementaux américains ciblés par les nouveaux groupes.
«Il existe au moins cinq groupes d’activités différents qui semblent exploiter les vulnérabilités», explique Katie Nickels, qui dirige une équipe de renseignement au sein de la société de cybersécurité Red Canary qui enquête sur les hacks. Lors du suivi des cybermenaces, les analystes du renseignement regroupent les groupes d’activités de piratage en fonction des techniques, tactiques, procédures, machines, personnes et autres caractéristiques spécifiques qu’ils observent. C’est un moyen de suivre les menaces de piratage auxquelles ils sont confrontés.
Hafnium est un groupe de piratage chinois sophistiqué qui mène depuis longtemps des campagnes de cyberespionnage contre les États-Unis, selon Microsoft. Ils sont un prédateur suprême – exactement le genre qui est toujours suivi de près par les charognards opportunistes et intelligents.
L’activité est rapidement passée à la vitesse supérieure une fois que Microsoft a fait son annonce mardi. Mais qui sont exactement ces groupes de piratage, ce qu’ils veulent et comment ils accèdent à ces serveurs restent flous. Il est possible que le groupe Hafnium d’origine ait vendu ou partagé son code d’exploit ou que d’autres pirates aient procédé à une ingénierie inverse des exploits en fonction des correctifs publiés par Microsoft, explique Nickels.
«Le défi est que tout cela est si trouble et qu’il y a tellement de chevauchements», explique Nickels. «Ce que nous avons vu, c’est que depuis que Microsoft a publié sur Hafnium, il s’est étendu au-delà de Hafnium. Nous avons vu des activités qui ne ressemblent pas aux tactiques, techniques et procédures dont ils ont fait état. »