Alors que les gouvernements du monde entier continuent de faire face à la pandémie de coronavirus, un groupe de piratage ayant des liens potentiels avec la Corée du Sud a lancé une campagne d’espionnage contre le gouvernement chinois.

Le groupe de menaces persistantes avancé DarkHotel a compromis plus de 200 serveurs VPN afin d’infiltrer un certain nombre d’institutions et d’agences gouvernementales chinoises, selon un nouveau rapport de Qihoo 360.

Dans un cas, le groupe de piratage a exploité une vulnérabilité jusque-là inconnue dans le logiciel VPN d’entreprise Sangfor SSL, puis a installé des logiciels malveillants sur les machines des victimes afin de collecter des données utilisateur.

Le moment de l’attaque a également coïncidé avec de nouvelles instructions du gouvernement chinois qui a exhorté les citoyens à travailler à domicile afin d’aider à arrêter la propagation du coronavirus.

Groupe de piratage DarkHotel

Alors que Qihoo 360 pense que le groupe de piratage DarkHotel était à l’origine de cette dernière série d’attaques, d’autres chercheurs en sécurité ne sont pas si sûrs. Dans un article sur Twitter, le principal chercheur en sécurité de Kaspersky, Brian Bartholomew a fait valoir que la société de sécurité basée à Pékin n’avait pas fourni les preuves nécessaires pour lier DarkHotel à ces attaques, déclarant:

“Je vais être un peu franc ici. Cet article est plein de spéculations, aucune preuve qu’il s’agissait en fait de DatkHotel, et une tonne de biais de confirmation concernant le ciblage à cause de Covid. Je ne dis pas qu’ils ont tort, mais à l’avenir, il faudra plus de données d’appui pour étayer les réclamations. »

Les services VPN aident à protéger les travailleurs distants du monde entier lorsqu’ils travaillent à domicile pendant la pandémie de coronavirus, c’est pourquoi nous avons constaté un nombre croissant d’attaques les ciblant. Dans son rapport, Qihoo 360 a expliqué que les VPN sont vitaux pour les entreprises chinoises pendant cette période difficile, en disant:

«Imaginez, avec la propagation de la pandémie de coronavirus, les entreprises et institutions chinoises à l’étranger ont toutes adopté le mode de travail à distance et les employés de chaque unité établiront le contact avec le siège et transfèreront toutes les données sensibles via le VPN. Si le serveur VPN est compromis à ce moment, les conséquences seront inimaginables. »

Reste à savoir si DarkHotel est derrière cette dernière série d’attaques, mais j’espère que d’autres chercheurs en sécurité commenceront maintenant à examiner la question pour voir si les affirmations de Qihoo 360 sont vraies.

