A l’occasion de son événement XPAND, les experts Trellix ont récemment dévoilé les résultats de nouvelles recherches dont voici le détail. Nouvelles conclusions Trellix concernant les cyberattaques lancées à Taïwan, à la suite de la visite de Nancy Pelosi.
Étude – En août dernier, la visite de Nancy Pelosi, la présidente de la Chambre des représentants américaine, à Taiwan relançait les tensions entre la Chine et les Etats-Unis. Une visite qui s’est accompagnée d’attaques par déni de service distribué (DDoS) contre le gouvernement et les organisations commerciales de Taïwan mettant hors service un certain nombre de sites Web du gouvernement taïwanais.
Trellix dévoile de nouvelles conclusions :
- Ces attaques ont été menées par un groupe d’hacktivistes chinois sous une fausse bannière, “APT27_Attack”, qui prétendait être l’État-nation bien connu APT27.
- D’après les détections télémétriques de Trellix, les activités de menaces visant le gouvernement et les organisations commerciales de Taïwan ont probablement commencé quelques jours avant l’arrivée de Nancy Pelosi, le 3 août 2022 : le 29 juillet 2022, les données télémétriques de Trellix ont révélé un pic de détections à Taïwan (plus de 32 000 détections d’activités suspectes détectées en une journée contre fourchette quotidienne habituelle de 9 000 à 17 000 détections).
- Les chercheurs Trellix suspectent que l’augmentation de l’activité malveillante détectée à Taïwan pourrait être liée à des activités pré-opérationnelles, les attaques ayant eu lieu presque une semaine avant l’arrivée de Mme Pelosi sur l’île, et commençant le jour exact où le voyage de Mme Pelosi a été confirmé, ce qui a déclenché un pic de détections.
Réémergence de REvil
Le célèbre groupe de hackers REvil, considéré mort depuis son arrestation en janvier 2022, semble refaire surface. Bien qu’il reste à voir si cette réapparition de REvil inclut ses membres les plus agressifs possédant les mêmes compétences techniques ou s’il s’agit simplement d’un groupe d’imitateurs reprenant l’ancien nom, les chercheurs Trellix font le constat suivant :
- Un flux constant de nouveaux « REvil » dans la nature. Actuellement, la principale hypothèse est qu’un ou plusieurs individus ont pris le contrôle de l’ancien REvil Happy Blog et de certains codes sources.
- Les chercheurs du Trellix Advanced Research Center étudient depuis longtemps REvil, et son prédécesseur GandCrab. Avant la saisie par le FBI des fonds volés par REvil et l’arrestation puis l’inculpation de certains membres du groupe, Trellix a dévoilé une nouvelle technique permettant d’énumérer les principaux membres du gang des ransomwares. Dans leur dernier blog, les chercheurs du Trellix Advanced Research Center font notamment référence aux recherches précédemment effectuées sur toutes les étapes de la construction de l’entreprise cybercriminelle de REvil, ainsi que les faux pas qui ont mené à sa perte.