Sophos détaille les attaques de groupes étatiques chinois contre des pare-feux

La société de cybersécurité britannique Sophos a publié, le 31 octobre 2024, un rapport sur les cyberattaques menées par des groupes étatiques chinois contre ses pare-feux. Durant cinq ans, la division X-Ops de la firme a ainsi identifié de multiples offensives utilisant des botnets, des exploits inédits et des malwares sur-mesure. Les groupes de menace persistante APT31, APT41/Winnti et Volt Typhoon auraient mené, selon la société de cybersécurité, les plus importantes campagnes.

Pour les repérer, Sophos a installé, sur les mises à jour de ses pare-feux, un code supplémentaire permettant d’identifier les tentatives d’attaque. X-Ops a ainsi pu remonter jusqu’à plusieurs établissements de recherche situés dans le Sichuan, au centre de la Chine. Chargés d’identifier des vulnérabilités, ces organismes les partageaient ensuite « des entités associées au gouvernement chinois », dont des groupes cybercriminels étatiques.

X-Ops détaille également une triple évolution stratégique de ces acteurs étatiques. Ils ont tout d’abord troqué des attaques « généralisées et indiscriminées », avant 2021, par des offensives « très ciblées, contre des entités spécifiques », issues de secteurs critiques. Sophos évoque notamment l’énergie nucléaire, l’armée, les télécoms, les agences de sécurité de l’État et les gouvernements centraux, en particulier dans la zone Asie-Pacifique.

Par ailleurs, ces groupes étatiques ont également considérablement augmenté leurs niveaux de furtivité et de persistance, notamment via l’usage d’attaques living-off-the-land. Ils ont enfin ajouté des dispositifs pour tromper les protocoles de cyber-protection, et réduit leurs empreintes numériques pour gêner la recherche OSINT.