APT3 : Focus sur le groupe Gothic Panda

14 mai 2020 cybersécurité
IMG 20200501 WA0008
IMG 20200501 WA0008

Gothic Panda, Buckeye ou APT3, de ses noms les plus connus, ou encore, UPS Team et TG-0110, de ses autres noms, est un groupe de cyber espionnage présent de 2007 à 2017. Ce groupe cyber criminel utilise des attaques par hameçonnage, des exploits du zero-day et des outils d’accès à distance accessibles au public.

APT 3 vise essentiellement des organisations aux États-Unis dans le but de compromettre des entités des secteurs de la défense, de la construction, de la technologie et des transports. En 2007 et en 2014, par exemple, Gothic Panda mènent trois de ses principales opérations aux États-Unis qui s’appellent respectivement « Hupignon and Pirpi Backdoors », « Clandestine Fox » et « Double Tap ». Ces opérations consistaient à attaquer les moteurs de recherches comme Explorer ou Firefox et des réseaux sociaux, sa spécialité étant, d’exploiter les vulnérabilités zero-day de grands navigateurs Internet.

Cependant, en juin 2015, le groupe se tourne vers un nouveau secteur d’activité, le ciblage d’organisations politiques à Hong Kong. Ainsi, le groupe commence à compromettre des entités politiques à Hong Kong en envoyant des courriels malveillants à des cibles chinoises et tentant de se propager dans des réseaux compromis afin de voler des informations. D’ailleurs, en 2015, Gothic Panda mène une autre grande opération, intitulée « Clandestine Wolf », dont les acteurs ont lancé une campagne de phishing à grande échelle contre certaines organisations. Les secteurs des organisations visées étaient principalement dans l »aéronautique et la défense, la construction et l’ingénierie, la haute technologie et enfin les télécommunications et les transports.

Ce n’est qu’en novembre 2017 que l’activité du groupe prend fin avec l’inculpation de trois de ces membres par les États-Unis pour avoir compromis les réseaux de trois entreprises américaines.

Et pour finir, le site Intrusion Worth (https://intrusiontruth.wordpress.com/2017/05/09/apt3-is-boyusec-a-chinese-intelligence-contractor/#more-115 ) dénonce Wu Yingzhuo, Dong Hao, leur entreprise « Boyusec » et le ministère chinois de la Sécurité de l’État d’être derrière le groupe cyber criminel. Ce groupe fut l’une des attaques APT les plus redoutables contre les entreprises américaines et chinoises de cette époque.

 

Pour plus d’informations : https://attack.mitre.org/groups/G0022/