Chinese hackers breached Asian telcos for years

• Le groupe Weaver Ant a infiltré des fournisseurs télécoms en utilisant des techniques furtives.
• La campagne est restée indétectée pendant plus de quatre ans.

Ce qui s'est passé: Une campagne d'espionnage furtive des télécoms dévoilée

Un groupe de pirates informatiques lié à la Chine, surnommé Weaver Ant, a secrètement infiltré plusieurs fournisseurs de télécommunications asiatiques pendant au moins quatre ans, selon un rapport de la société de cybersécurité Sygnia. Les attaquants ont utilisé des techniques avancées, notamment le tunneling chiffré et les shells web, pour maintenir leur persistance et éviter la détection.

Les pirates ont utilisé des routeurs domestiques Zyxel compromis en Asie du Sud-Est comme réseau de relais, masquant ainsi efficacement leur origine. Cela leur a permis de mener des opérations d'espionnage à long terme, de collecter des identifiants et de surveiller l'activité du réseau interne. Les attaquants ont également déployé un shell web jusqu'alors inconnu nommé INMemory, qui exécute des charges utiles directement dans la mémoire du serveur, laissant peu de traces médico-légales. Voir aussi: Ziggo Group nomme ses dirigeants avant l'introduction en Bourse à Amsterdam en 2027.

L'enquête de Sygnia a révélé que Weaver Ant utilisait un réseau de boîtes de relais opérationnelles (ORB) non provisionnées pour relayer le trafic malveillant, dissimulant davantage son infrastructure. Le groupe a également fait preuve d'une grande capacité d'adaptation, passant d'un fournisseur de télécommunications à un autre via des appareils compromis, tout en contournant les mesures de sécurité.

La brèche a été découverte accidentellement lors d'une enquête distincte de Sygnia, lorsqu'un compte précédemment désactivé a été réactivé par un compte de service. Cette réactivation a conduit les analystes à découvrir la vaste campagne d'espionnage, confirmant l'accès étendu de Weaver Ant à plusieurs réseaux de télécommunications. Voir aussi: Alejandro Estua.

Lire aussi: Les télécoms à la croisée des chemins: l'appel à l'action de Google Cloud en matière d'IA
Lire aussi: NVIDIA IA: Révolutionner les télécoms avec AI-RAN et GenAI

Pourquoi c'est important

La révélation de cette campagne met en évidence la vulnérabilité des infrastructures de télécommunications critiques face à des opérations prolongées de cyberespionnage. Les fournisseurs de télécoms, étant au cœur des communications, sont des cibles lucratives pour les acteurs étatiques cherchant des renseignements sur les activités gouvernementales, commerciales et individuelles. Voir aussi: Alejandro Manzo.

En utilisant des routeurs domestiques comme relais, les attaquants ont contourné efficacement les systèmes de détection réseau traditionnels. Cette approche, associée à l'utilisation de shells web basés sur la mémoire, témoigne d'une évolution des techniques de piratage, rendant plus difficile pour les équipes de sécurité de retracer ou de bloquer l'intrusion. Voir aussi: Alejandro Hernandez.

De plus, la persistance de l'attaque sur plusieurs années suggère que les opérateurs de télécommunications pourraient présenter des faiblesses systémiques dans leurs cadres de sécurité. L'incident souligne la nécessité d'une surveillance continue, de systèmes avancés de détection des menaces et de mesures de cybersécurité proactives pour prévenir des brèches similaires. Voir aussi: Alejandro Garza.