Selon l’entreprise de sécurité californienne Proofpoint, les cyberattaques qui ont visé des entreprises de télécommunications russes et, par rebond, des analystes financiers russophones qui suivent l’activité du secteur des télécommunications russe pour le compte d’entreprises financières mondiales, font suite à une série d’intusions ciblant des installations militaires en Asie centrale. « Il est toujours délicat de localiser le coupable, mais dans le cas présent, le groupe utilise un grand nombre d’outils d’attaque en langue chinoise et leurs serveurs de commande et de contrôle renvoient vers des sites d’hébergement localisés dans des territoires contrôlés par la Chine », a déclaré Kevin Epstein, vice-président du centre des opérations de Proofpoint.

« Si l’on s’en tient au principe de parcimonie, tout semble indiquer qu’un cybergroupe chinois est à l’origine de cette campagne », a-t-ajouté, « mais cela n’exclut pas qu’un autre groupe essaye peut être délibérément de jeter le blâme sur la Chine ». Par ailleurs, l'attaque est peut-être parrainée par un gouvernement, mais elle pourrait aussi être dirigée par un groupe qui espère vendre ses renseignements militaires. « Il y a, comme toujours, un marché mondial pour les données classifiées », a déclaré Kevin Epstein. « On connait de nombreux exemples de hackers privés ayant piraté diverses institutions pour revendre ensuite leurs données à des gouvernements. Dans le monde de la cybersécurité, les lignes sont très floues ».

Un leurre en langue russe particulièrement travaillé

« Le premier vecteur de l'attaque est un courriel bien écrit en langue russe qui semble provenir d’une personne de la division militaire ciblée ou d’un département d’analyse appartenant à la même division militaire », a expliqué le vice-président du centre des opérations de Proofpoint. Il est accompagné d’une pièce jointe, un document Word avec un article sur l'histoire des essais militaires russes. « Ce document, dont le contenu est assez intéressant à lire, est un leurre », a déclaré Kevin Epstein. « Quand il est refermé, il active une macro qui déclenche un fichier secondaire qui prend le relais. C’est-à-dire qu’il télécharge un troisième fichier, en l’occurrence le malware qui va infecter la machine ».

Ensuite, le fichier malveillant prend le contrôle de l'ordinateur, et les attaquants peuvent accéder à tous les contenus auquel l'utilisateur a accès. « Un programme antivirus ne peut pas voir de virus dans le document parce qu'il n'y a pas de virus dans le document », a encore expliqué le vice-président du centre des opérations de Proofpoint. « L’astuce qui consiste à déclencher une macro à la fermeture d’un document est une technique anti-sandboxing courante, parce que la plupart des bacs à sable analysent les documents quand ils sont ouverts, et pas quand ils sont fermés ». Selon Kevin Epstein, ses employés russophones ont confirmé que le courriel était très convaincant, et s’ils n’avaient pas été vigilants, ils auraient pu cliquer sur la pièce jointe. « C’est tout à fait le genre de message que l’on peut recevoir d’un collègue, et rien dans ce courriel n’incite à la suspicion », a déclaré Kevin Epstein.