La police finlandaise a confirmé mardi que le groupe de piratage APT31 lié au ministère chinois de la Sécurité d’État (MSS) était à l’origine d’une violation du Parlement du pays révélée en mars 2021.
Depuis lors, une enquête criminelle conjointe avec le Service finlandais de sécurité et de renseignement et des partenaires internationaux a examiné de multiples infractions présumées, notamment l’espionnage aggravé, la violation du secret des communications et l’intrusion dans les systèmes d’information du Parlement finlandais.
Cette enquête a révélé une « infrastructure criminelle complexe », selon l’inspecteur-détective en chef Aku Limnéll du Bureau national d’enquête.
« On soupçonne que les infractions ont été commises entre l’automne 2020 et le début de 2021. La police a précédemment informé qu’elle enquêtait sur les liens du groupe de piratage APT31 avec l’incident », a déclaré la police finlandaise.
« Ces connexions ont maintenant été confirmées par l’enquête, et la police a également identifié un suspect. »
Comme l’ont déclaré des responsables du Parlement finlandais il y a trois ans, décrivant l’incident comme une « opération de cyberespionnage d’État » qui serait liée à « la soi-disant opération APT31 », les attaquants ont eu accès à plusieurs comptes de messagerie du Parlement, dont certains appartenant à des députés finlandais.
APT31 sanctions et accusations
Lundi, le Bureau du Contrôle des avoirs étrangers (OFAC) du Département du Trésor américain a sanctionné deux agents d’APT31 (Zhao Guangzong et Ni Gaobin) qui travaillaient comme sous-traitants pour Wuhan XRZ,une société écran désignée par l’OFAC utilisée par le MSS chinois comme couverture dans les attaques d’infrastructures critiques américaines.
Le Royaume-Uni a également sanctionné Wuhan XRZ et les deux pirates informatiques APT31 pour avoir violé l’agence de renseignement du GCHQ, ciblé des parlementaires britanniques et piraté les systèmes de la Commission électorale du pays.
Le même jour, le département de la Justice des États-Unis a inculpé Zhao Guangzong, Ni Gaobin et cinq autres accusés (Weng Ming, Cheng Feng, Peng Yaowen, Sun Xiaohui, Xiong Wang) pour leur implication dans les opérations de Wuhan XRZ sur une période d’au moins 14 ans.
Le Département d’État offre désormais également des récompenses allant jusqu’à 10 millions de dollars pour des informations sur Wuhan XRZ et APT31 qui pourraient aider à localiser et/ou appréhender l’un des sept pirates informatiques chinois du MSS.
En juillet 2021, les États-Unis et leurs alliés, dont l’OTAN, l’Union européenne et le Royaume-Uni, ont blâmé les groupes de menaces APT40 et APT31 liés au SMS chinois pour une vaste campagne de piratage de Microsoft Exchange.
APT31 (alias Zirconium et Judgment Panda) est connu pour de nombreuses opérations de vol d’informations et d’espionnage et son implication dans le vol et la réutilisation de l’exploit EpMe NSA des années avant que Shadow Brokers ne le divulgue en avril 2017.
Il y a quatre ans, Microsoft a observé des attaques APT31 ciblant des personnalités de premier plan associées à la campagne présidentielle de Joe Biden. À peu près au même moment, Google les a repérés en ciblant les comptes de messagerie personnels des « membres du personnel de la campagne » avec des e-mails de phishing d’informations d’identification.