Des chercheurs en sécurité de la société américaine de cybersécurité Symantec ont déclaré avoir découvert un outil de piratage chinois « très sophistiqué » qui a pu échapper à l’attention du public pendant plus d’une décennie.
La découverte a été partagée avec le gouvernement américain ces derniers mois, qui a partagé l’information avec des partenaires étrangers, a déclaré un responsable américain. Symantec, une division du fabricant de puces Broadcom, a publié lundi ses recherches sur l’outil, qu’il appelle Daxin.
« C’est quelque chose que nous n’avons jamais vu auparavant », a déclaré Clayton Romans, directeur associé de la Cybersecurity Infrastructure Security Agency (CISA) des États-Unis. « C’est exactement le type d’informations que nous espérons recevoir. »
La CISA a souligné l’adhésion de Symantec à un partenariat public-privé de partage d’informations sur la cybersécurité, connu sous le nom de JCDC, parallèlement au nouveau document de recherche.
Le JCDC, ou Joint Cyber Defense Collaborative, est un collectif d’agences gouvernementales de défense, dont le FBI et la National Security Agency, et 22 entreprises technologiques américaines qui partagent entre elles des renseignements sur les cyberattaques actives.
L’ambassade de Chine à Washington n’a pas répondu à une demande de commentaire. Les responsables chinois ont précédemment déclaré que la Chine était également victime de piratage et s’opposait à toutes les formes de cyberattaques.
« Les capacités de ce malware sont remarquables et seraient extrêmement difficiles à détecter sans cette recherche publique », a déclaré Neil Jenkins, directeur de l’analyse à la Cyber Threat Alliance, un groupe à but non lucratif qui rassemble des experts en cybersécurité pour partager des données.
L’attribution de Symantec à la Chine est basée sur des cas où des composants de Daxin ont été combinés avec d’autres infrastructures de piratage informatique ou cyberattaques connues liées à la Chine, a déclaré Vikram Thakur, directeur technique chez Symantec.
Les chercheurs de Symantec ont déclaré que la découverte de Daxin était remarquable en raison de l’ampleur des intrusions et de la nature avancée de l’outil.
« Les attaques connues les plus récentes impliquant Daxin ont eu lieu en novembre 2021 », indique le rapport de recherche. « Les capacités de Daxin suggèrent que les attaquants ont investi des efforts considérables dans le développement de techniques de communication capables de se fondre de manière invisible dans le trafic réseau normal. »
Les victimes de Daxin comprenaient des agences gouvernementales non occidentales de haut niveau en Asie et en Afrique, y compris les ministères de la Justice, a ajouté Thakur.
« Daxin peut être contrôlé de n’importe où dans le monde une fois qu’un ordinateur est réellement infecté », a déclaré Thakur. « C’est ce qui élève la barre des logiciels malveillants que nous voyons sortir de groupes opérant depuis la Chine. »
Romans a déclaré qu’il ne connaissait pas les organisations touchées aux États-Unis, mais qu’il y avait des infections dans le monde entier, que le gouvernement américain aidait à notifier.
« De toute évidence, les acteurs ont réussi non seulement à mener des campagnes, mais aussi à garder leur création secrète pendant plus d’une décennie », a déclaré Thakur.