La Digital Crime Unit de Microsoft a récemment pu reprendre de nombreux sites web du cybergang chinois « Nickel » suite à une décision de justice. Selon l’entreprise, d’autres entreprises de sécurité appellent ce groupe criminel « KE3CHANG », « APT15 », « Vixen Panda », « Royal APT » et « Playful Dragon ». La firme de Redmond a redirigé le trafic réseau des sites web vers ses propres serveurs sécurisés, perturbant ainsi considérablement les activités de la bande criminelle.
Microsoft reconnaît que cette action n’empêchera pas le gang de Nickel de poursuivre malgré tout ses activités. Mais l’éditeur pense avoir supprimé une pièce clé de l’infrastructure utilisée lors de la dernière vague d’attaques.
Sommaire
Le cybergang de Nickel
Le Threat Intelligence Center (MSTIC) de Microsoft est sur les traces de « Nickel » depuis 2016 déjà et analyse ses activités depuis 2019. Les attaques observées par le MSTIC seraient extrêmement sophistiquées et utiliseraient des techniques variées. Elles n’auraient presque toujours qu’un seul objectif : introduire des logiciels malveillants difficiles à détecter, qui servent à l’intrusion, à la surveillance et au vol de données. Selon l’entreprise, les attaques visent principalement à obtenir des informations auprès d’organisations gouvernementales, de groupes de réflexion et d’organisations de défense des droits de l’homme.
Parfois, Nickel utilisait dans ses attaques des VPN tiers compromis ou des données d’accès volées lors de campagnes de spear phishing. Dans certaines des activités observées, le malware Nickel a exploité des vulnérabilités dans des serveurs Exchange locaux et des systèmes SharePoint non patchés. L’entreprise n’a toutefois pas constaté de nouvelles failles de sécurité.
Le cybergang Nickel a attaqué des organisations du secteur public et privé, y compris des organisations diplomatiques et des ministères des affaires étrangères en Afrique, en Europe, dans les Caraïbes, en Amérique du Nord, en Amérique du Sud et en Amérique centrale. Les objectifs de Nickel ont souvent été corrélés aux intérêts géopolitiques de la Chine, écrit Microsoft dans son rapport.
Soulagement temporaire
Microsoft considère le coup porté au groupe actif dans 29 pays comme un succès. Grâce aux sites Web repris, il serait désormais possible de mieux analyser la manière dont les attaquants ont agi. Toutefois, il est probable que Nickel ne subisse qu’un revers de courte durée. En début d’année, les forces de l’ordre ont réussi à paralyser le réseau Emotet, mais le cybergang Emotet est récemment revenu.