Comment des hackers chinois ont transformé Google Calendar en centre de pilotage de cyberattaques
Google Threat Intelligence dévoile une campagne de cyberattaques inédite orchestrée par le groupe chinois APT41. Leur arme secrète ? Google Calendar, détourné pour servir de centre de commande et de contrôle à distance. Explications.
C’est un rapport publié le 28 mai par Google Threat Intelligence qui alerte une nouvelle fois sur l’ingéniosité du groupe chinois APT 41, lorsqu’il s’agit de cyberattaque. Tout débute par un classique du genre : une campagne de phishing. Les victimes reçoivent un email contenant un fichier ZIP, hébergé sur un site gouvernemental compromis. À l’intérieur, un fichier qui ressemble à un PDF, mais qui est en réalité un raccourci Windows piégé. En un clic, la chaîne d’infection se met en marche et un programme malveillant s’installe discrètement sur l’ordinateur.
Ce programme, baptisé TOUGHPROGRESS repose sur une technique bien rodée : il s’appuie sur un fichier DLL (un composant logiciel courant sous Windows et déjà exploité lors de précédentes attaques) pour se lancer en mémoire et rester quasiment invisible. Cette étape permet de contourner la plupart des antivirus, qui peinent à détecter ce type d’attaque furtive.
Google Calendar, le cerveau caché de l’attaque
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Là où APT41 innove, c’est dans la manière de piloter ses opérations. Plutôt que de communiquer avec ses logiciels malveillants via des serveurs suspects, le groupe chinois exploite Google Calendar, un service cloud utilisé par des millions de personnes chaque jour.
Le principe est simple, mais redoutable : TOUGHPROGRESS se connecte à un calendrier Google contrôlé à distance. Dans ce calendrier, les hackers créent des événements dans lesquels ils glissent des instructions codées et consultées par le logiciel espion : voler des documents, installer d’autres malwares, ou encore exfiltrer des données sensibles.
Une fois sa mission accomplie, TOUGHPROGRESS peut répondre à ses opérateurs en déposant, à son tour, des messages chiffrés dans de nouveaux événements du calendrier. Ce système, appelé centre de commande et de contrôle (C2), permet aux pirates d’envoyer des ordres (commande) et de recevoir des retours sur l’exécution de ces ordres (contrôle), tout en restant sous le radar des outils de sécurité.
Des cibles variées et une détection difficile
Les cibles de cette campagne sont diverses : agences gouvernementales, entreprises de la logistique, médias, sociétés technologiques ou encore constructeurs automobiles, principalement en Europe et en Asie. En utilisant un service aussi banal que Google Calendar, les hackeurs rendent leur communication indétectable pour la plupart des systèmes de cybersécurité, qui voient simplement du trafic « normal » vers un service légitime.
Face à cette attaque, Google annonce avoir réagi rapidement : suppression des comptes et calendriers compromis, mise à jour de ses outils de détection, et alerte envoyée aux organisations concernées.
Une nouvelle occasion de rappeler que faire attention à ce que l’on télécharge, et surtout ce que l’on ouvre, reste la base d’une bonne hygiène numérique.
Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !
Auteur :
Aller à la source
