APT1 : Focus sur l’Unité 61398

APT 1, Unité 61398, Shangai Group ou Comment Crew est un groupe cyber criminel mystérieux, actif depuis 2006, attaquant de grandes entreprises et leurs réseaux. Il est soupçonné d’être un groupe chinois agissant sous les ordres du gouvernement du pays. Il est à l’origine de multiples opérations de piratages contre des réseaux informatiques de grandes entreprises de pays parlant principalement l’anglais comme le Canada, les Etats-Unis ou encore l’Angleterre.

Les responsables présumés de ce groupe cyber criminel sont en réalité l’unité 61398 de l’armée populaire de la Libération de Chine, d’où l’autre nom de l’APT1. Le lien entre le groupe APT1 et l’unité 61398 s’est fait grâce à l’entreprise de sécurité américaine Mandiant qui a mené son enquête et a découvert que les deux partis avaient exactement les mêmes missions, capacités et ressources et que les deux exerçaient dans la même zone, c’est à dire dans un bâtiment près de Pudong à Shanghai.

APT1 est redoutable et il est principalement connu pour avoir volé des centaines de téraoctets de données d’au moins 141 entreprises et organismes différents. Parce que le nombre de victimes est impressionnant, le groupe est soupçonné d’être très grand et d’être composé de centaines de personnes voire de milliers. Ce grand nombre d’employés leur aura même permis à certaines occasions d’attaquer des dizaines d’entreprises différentes en même temps. Les secteurs ciblés sont très nombreux et variés, on en compte plus de 20 différents, que je ne vais évidemment pas tous citer ici de peur de faire trop durer cet article, mais en voici quelques-uns : le secteur de l’High-tech, des recherches, de l’énergie, des transports, de l’électronique de pointes, des médias et du divertissement, etc…

Afin d’attaquer ces entreprises, APT1 utilise le plus fréquemment le spear-phishing qui est une méthode utilisant les mails pour contaminer les ordinateurs des victimes. Le spear-phishing fonctionne de la même façon que l’hameçonnage, mais contrairement à celui-ci, les mails du spear-fishing réunissent des informations sur les victimes et sont personnalisés afin de tromper encore mieux les personnes attaquées. Les e-mails contiennent généralement soit une pièce jointe malveillante, soit un lien vers un fichier malveillant ce qui permet d’infecter l’ordinateur très facilement. Ils volent également certains mails pour mieux tromper des utilisateurs en utilisant des logiciels comme Getmail. Il y a également un grand nombre de Malwares associés au groupe dont notamment Trojan.Ecltys, Backdoor.Wakename et Trojan.Badname.

En 2013, les États-Unis accusent le gouvernement chinois d’être lié au groupe et d’ordonner ses piratages mais celui-ci a nié les accusations en disant que tout le monde est victime de cyber attaque et qu’eux même ont été victime d’APT1. Et ils ont ajouté qu’il est quasiment impossible de retrouver les origines d’un groupe de cette envergure et encore moins de trouver des preuves pour affirmer qu’ils sont aux commandes de ce groupe cyber criminel. Ainsi, à ce jour, les véritables origines du groupe restent des suppositions.