Le gouvernement de Singapour a accusé un groupe de cyberespionnage chinois connu d’avoir ciblé quatre de ses principales sociétés de télécommunications dans le cadre d’une attaque qui a duré plusieurs mois.
Dans un communiqué lundi, Singapour a confirmé pour la première fois que les pirates, connus sous le nom d’UNC3886, ciblaient l’infrastructure de télécommunications du pays, notamment ses plus grandes entreprises : Singtel, StarHub, M1 et Simba Telecom. Le gouvernement avait précédemment déclaré qu’il répondait à une attaque non précisée contre ses infrastructures critiques.
Même si les intrus ont pu pénétrer dans certains systèmes et y accéder, ils n’ont pas perturbé les services ni accédé aux informations personnelles, a déclaré K. Shanmugam, ministre coordonnateur de la sécurité nationale du pays.
L’unité de cybersécurité appartenant à Google, Mandiant, avait précédemment associé l’UNC3886 à un groupe d’espionnage travaillant probablement pour le compte de la Chine. Le gouvernement chinois est connu pour mener régulièrement des opérations de cyberespionnage et se préparer à des attaques perturbatrices avant une invasion prévue de Taiwan, ce que Pékin a régulièrement nié, selon Reuters.
UNC3886 est connu pour exploiter les vulnérabilités du jour zéro dans les routeurs, les pare-feu et les environnements virtualisés, que les outils de cybersécurité conçus pour détecter les logiciels malveillants ne peuvent généralement pas atteindre. Le groupe de piratage a ciblé les secteurs de la défense, de la technologie et des télécommunications aux États-Unis et dans la région Asie-Pacifique.
Dans le cas de l’attaque contre les principales sociétés de télécommunications de Singapour, Shanmugam a déclaré que les pirates ont utilisé des outils avancés, tels que des rootkits, pour assurer la persistance à long terme de leurs systèmes.
« Dans un cas, ils ont pu obtenir un accès limité à des systèmes critiques, mais ne sont pas allés assez loin pour pouvoir perturber les services », selon le communiqué du gouvernement.
Selon Reuters, les sociétés de télécommunications ont déclaré dans un communiqué commun qu’elles étaient régulièrement confrontées à des attaques par déni de service distribué et à d’autres attaques de logiciels malveillants. « Nous adoptons des mécanismes de défense en profondeur pour protéger nos réseaux et effectuons des mesures correctives rapides lorsque des problèmes sont détectés », indique le communiqué.
Les attaques contre les sociétés de télécommunications de Singapour font suite à des attaques similaires mais nettement différentes contre des centaines d’entreprises de télécommunications à travers le monde ces dernières années, y compris aux États-Unis. Plusieurs gouvernements ont lié ces attaques à un groupe soutenu par la Chine surnommé Salt Typhoon.
Singapour a déclaré que l’attaque menée par UNC3886 n’avait « pas entraîné la même ampleur de dégâts que les cyberattaques ailleurs », faisant référence aux piratages de Salt Typhoon.
