Écrit par Joshua Philipp, Epoch Times

Les espions liés à quelques-unes des plus grandes campagnes de cyber-espionnage chinois ont utilisé la disparition du vol MH 370 de la Malaysia Airlines pour infecter les ordinateurs de divers gouvernements et groupes de réflexion.

Deux de ces attaques ont été découvertes par des chercheurs de l’entreprise de sécurité FireEye.

FireEye a découvert que les attaques utilisaient une version modifiée de Poison Ivy, un outil de piratage régulièrement utilisé dans les attaques fomentées par le régime chinois. Les deux chercheurs ont également remonté les attaques jusqu’à un groupe baptisé Admin@338 déjà impliqué dans de précédentes campagnes d’espionnage chinois.

Les cyber-espions se sont servis de la disparition de l’avion malaisien pour forcer l’accès à divers ordinateurs. Ils ont envoyé des courriers électroniques à des cibles précises accompagnés d’un fichier infecté faisant référence au vol MH 370. Si la victime ouvrait le fichier, celui-ci infectait l’ordinateur avec un outil d’espionnage.

Après avoir obtenu cet accès, les espions étaient capables de surveiller l’ordinateur de la victime, de voler des fichiers et d’espionner au travers de la caméra.

Selon les analyses de FireEye, le groupe d’espionnage a lancé ses premières attaques le 10 mars, soit deux jours après la disparition du vol MH 370, visant un gouvernement étranger (indéterminé) dans la région Asie pacifique.

Les individus ont envoyé un courrier électronique à la cible avec un fichier attaché intitulé «Malaysian Airlines MH370.doc»

Selon FireEye, la cible suivante était une «un important groupe de réflexion basé aux États-Unis» et l’outil de piratage était caché dans une vidéo Flash.

En octobre 2013, Admin@338 était déjà impliqué dans des campagnes de cyber-espionnage visant un groupe de réflexion américain, la Banque centrale d’un gouvernement européen (indéterminé), un haut-responsable d’un gouvernement d’Extrême-Orient et plusieurs autres cibles impliquées dans la finance et le commerce.

FireEye a remarqué que ces campagnes d’espionnage en 2013 étaient «apparemment concentrées sur la récoltes de données liées au commerce, aux finances et à l’économie.»

Les attaques découvertes par FireEye n’étaient pas les seules attaques chinoises à se servir de la disparition de l’avion malaisien.

L’entreprise de sécurité Kaspersky a détecté de tels fichiers infectés déguisés en informations sur la disparition de l’avion. Ces fichiers sembleraient avoir été envoyés par des groupes liés aux plus grandes campagnes d’espionnage chinois.

Selon Kaspersky, ces groupes chinois avaient été impliqués dans des opérations d’espionnage appelées «NetTraveler» visant des diplomates, des entrepreneurs militaires et des agences gouvernementales dans 40 pays.

Les mêmes groupes ont mené les attaques baptisées Titan Rain, une longue série d’attaques contre le gouvernement américain, et GhostNet, une campagne d’espionnage internationale visant plusieurs groupes dont le gouvernement tibétain en exil et le bureau privé du Dalai Lama.

La nature de ces cyber-attaques rend difficile de pointer un pays en particulier, mais ce n’est pas la première fois que les autorités chinoises essaient d’utiliser l’incident du MH 370 pour renforcer ses propres intérêts.

Lorsque la Chine a envoyés deux navires de guerre pour soutenir les efforts de recherche, l’Amiral Yin Zhuo de l’Armée de libération du peuple a suggéré que la Chine construise des ports sur les Îles Spratley, un territoire maritime disputé, au cas où la Chine devrait à nouveau s’impliquer dans des recherches à l’avenir.

Il avait également prétexté des recherches de l’avion disparu pour construire une base aérienne au sein du même territoire

Version en anglais: Chinese Cyberspies Use Malaysian Flight for Attacks

Epoch Times est publié en 21 langues et dans 35 pays.