Des acteurs de la menace parrainés par l’État chinois sont engagés dans une cyberattaque à long terme contre les opérateurs de lignes électriques indiens, affirment des chercheurs en cybersécurité.
Les experts du groupe Insikt ont découvert que sept centres de répartition de la charge de l’État indien (SLDC), qui maintiennent le réseau électrique en temps réel, ont tous été compromis par un cheval de Troie.
Tous sont apparemment situés au Ladakh, une région administrée par l’Inde en tant que territoire de l’Union, disputée entre la Chine, le Pakistan et l’Inde depuis la fin de la Seconde Guerre mondiale.
Dénégations chinoises
Le cheval de Troie utilisé s’appelle ShadowPad et serait souvent utilisé par des acteurs de la menace ayant des liens avec le ministère chinois de la Sécurité d’État. Selon les chercheurs, le groupe à l’origine de l’attaque est connu sous le nom de Threat Activity Group 38. Ils ont réussi à compromettre les terminaux connectés à Internet. (s’ouvre dans un nouvel onglet) comme les caméras IP, grâce aux identifiants de connexion par défaut qui ont probablement été laissés sans surveillance.
« Le groupe a probablement compromis et coopté des appareils de caméra DVR/IP faisant face à Internet pour la commande et le contrôle (C2) des infections de logiciels malveillants ShadowPad, ainsi que l’utilisation de l’outil open source FastReverseProxy (FRP) », a déclaré Insikt Group dans son rapport. .
L’intention des attaquants n’était pas de détruire l’infrastructure, du moins pas encore. Au contraire, ils étaient plus intéressés par la collecte de renseignements et le cyber-espionnage. C’est l’une des raisons, semble-t-il, pour lesquelles ils ont pu maintenir leur présence sans être vus pendant si longtemps.
Les Chinois ont nié toute implication. Parler à Le registre, le porte-parole chinois pour les affaires étrangères, Zhao Lijian, a déclaré que le pays s’en tenait à la lettre de la loi et « s’opposait fermement » à toutes les formes de cyberattaques. Il faut être « d’autant plus prudent lorsqu’on associe des cyberattaques au gouvernement d’un certain pays », a-t-il déclaré.
Les chercheurs d’Insikt ont ajouté qu’en plus des actifs du réseau, les attaquants ont touché une équipe nationale d’intervention d’urgence, ainsi qu’une filiale d’une entreprise de logistique.
Via : Le Registre (s’ouvre dans un nouvel onglet)