Les adversaires liés à la Chine ont été attribués à une attaque en cours contre les organisations indiennes du réseau électrique, un an après la révélation d’une campagne concertée ciblant les infrastructures critiques du pays.
La plupart des intrusions impliquaient une porte dérobée modulaire nommée ShadowPad, selon le groupe Insikt de Recorded Future, un cheval de Troie sophistiqué d’accès à distance qui a été qualifié de « chef-d’œuvre de logiciels malveillants vendus à titre privé dans l’espionnage chinois ».
« ShadowPad continue d’être employé par un nombre toujours croissant de groupes liés à l’Armée populaire de libération (APL) et au ministère de la Sécurité d’État (MSS), ses origines étant liées à des sous-traitants MSS connus utilisant d’abord l’outil dans leurs propres opérations et plus tard probablement agissant comme quartier-maître numérique », les chercheurs mentionné.
L’objectif de la campagne soutenue, a déclaré la société de cybersécurité, est de faciliter la collecte de renseignements concernant les systèmes d’infrastructure critiques en vue de futures opérations d’urgence. Le ciblage aurait commencé en septembre 2021.
Les attaques visaient sept centres d’expédition de charge d’État (SDLC) situés principalement dans le nord de l’Inde, en particulier ceux proches de la frontière contestée entre l’Inde et la Chine au Ladakh, l’une des cibles ayant été victime d’une attaque similaire divulguée en février 2021 et attribuée à le groupe RedEcho.
Les attaques RedEcho de 2021 impliquaient la compromission de 10 organisations indiennes distinctes du secteur de l’électricité, dont six des centres d’expédition de charge régionaux et étatiques du pays (RLDC), deux ports, une centrale électrique nationale et une sous-station.
Recorded Future a lié le dernier ensemble d’activités malveillantes à un cluster de menaces émergentes qu’il suit sous le nom de Threat Activity Group 38 alias TAG-38 (similaire au UNC#### et DEV-#### désignations données par Mandiant et Microsoft), citant des « distinctions notables » par rapport à celles des TTP RedEcho précédemment identifiés.
En plus d’attaquer les actifs du réseau électrique, TAG-38 a touché un système national d’intervention d’urgence et la filiale indienne d’une multinationale de logistique.
Bien que le vecteur d’infection initial utilisé pour violer les réseaux soit inconnu, le logiciel malveillant ShadowPad sur les systèmes hôtes a été réquisitionné au moyen d’un réseau de caméras DVR/IP infectées et connectées à Internet, géolocalisées à Taïwan et en Corée du Sud.
« L’utilisation de ShadowPad dans les groupes d’activités chinois continue de croître au fil du temps, avec de nouveaux groupes d’activités régulièrement identifiés à l’aide de la porte dérobée ainsi qu’une adoption continue par des groupes précédemment suivis », ont déclaré les chercheurs, ajoutant qu’il surveillait au moins 10 groupes distincts avec accès. au malware.
Suite à la divulgation, le ministre indien de l’Énergie de l’Union, RK Singh caractérisé les intrusions comme des « tentatives de sondage » infructueuses de piratage qui se sont produites en janvier et février, et que le gouvernement revoit constamment ses mécanismes de cybersécurité pour renforcer les défenses.
La Chine, pour sa part, réitéré qu’il « s’oppose fermement et combat toutes les formes de cyberattaques » et que « la cybersécurité est un défi commun auquel tous les pays sont confrontés et qui doit être relevé conjointement par le dialogue et la coopération ».
« Récemment, les entreprises chinoises de cybersécurité ont publié un série de rapportsrévélant que le gouvernement américain a lancé des cyberattaques contre de nombreux pays à travers le monde, dont la Chine, compromettant gravement la sécurité des infrastructures critiques de ces pays », a déclaré le porte-parole du ministère chinois des Affaires étrangères, Zhao Lijian, mentionné.
« Il convient de noter que de nombreux alliés ou pays des États-Unis avec lesquels ils coopèrent en matière de cybersécurité sont également victimes de cyberattaques américaines. Nous pensons que la communauté internationale, en particulier les pays voisins de la Chine, gardera les yeux grands ouverts et se fera son propre jugement. sur les véritables intentions de la partie américaine. »