Opération TooHash : les entreprises chinoises en ligne de mire

le 05/11/2014 à 15:30:00

Auteur :

G Data Security Lab vient de sortir un document technique décrivant en détail la manière dont la campagne TooHash a réussi à usurper des documents confidentiels à plusieurs entreprises et institutions asiatiques. Du cyber-espionnage ciblé dont voici quelques explications.


Pour les hackers, les entreprises représentent un terrain de jeu très attrayant de par leurs données qu’ils tentent de dissimuler, et leurs systèmes informatique facilement contournables par les pros du cyber-espionnage. L’opération TooHash mise en exergue par G Data en est de surcroit un parfait exemple. L’éditeur de solution de sécurité a analysé récemment le mode opératoire utilisé par cette campagne pour voler les données des entreprises. Et il faut dire, que le système est plutôt ingénieux. Les attaquants ont ainsi envoyé aux ressources humaines des sociétés cibles des Curriculum Vitae piégés. Ces documents Word, disponibles en pièce jointe des mails, comportaient une vulnérabilité assez ancienne infectant l’ordinateur cible, en mettant en place un outil d’administration à distance, plus communément appelé RAT.


Le groupe cybercriminel Shiqiang dans le viseur


Lors de l’analyse des logiciels malveillants, G Data a mis le doigt sur quelques éléments clé permettant de mettre un éventuel visage sur le coupable de toutes ces attaques. En effet, les experts G Data ont découvert 75 serveurs de contrôle et de commandes utilisés dans cette opération pour administrer les cibles infectées. Et devinez quoi ? Ces systèmes localisés à Hong Kong et aux États-Unis utilisaient le chinois et l’anglais. Les documents malveillants étaient, quant à eux, écrits en chinois simplifié (lu et parlé en Chine continentale) et en chinois traditionnel (principalement utilisé à Taïwan, Hong Kong, et Macao). Des informations essentielles qui permettent à G Data d’affirmer que les premières entreprises visées par l’opération TooHash étaient des entreprises chinoises. En revanche, concernant le coupable de ces attaques, la société garde quelques réserves, même si le nom de Shiqiang (groupe cybercriminel) a déjà été énoncé plusieurs fois.


Nouvelle gamme antivirus