Le groupe d’espionnage chinois TEMP.Periscope cible le Cambodge avant les élections du 29 juillet

Source : FireEye ─ Par Scott HendersonSteve MillerDan PerezMarcin SiedlarzBen WilsonBen Read ─ Le 10 juillet 2018. 

Le groupe d’espionnage chinois TEMP.Periscope cible le Cambodge avant les élections de juillet 2018, et révèle un large éventail d’activités au niveau mondial.

Introduction

FireEye a examiné une série d’activités du groupe d’espionnage chinois TEMP.Periscope, qui révèlent un intérêt majeur pour les événements politiques au Cambodge, illustré par des cyber attaques actives contre de multiples acteurs cambodgiens liés au système électoral du pays. Ceci comprend des cyberattaques contre des entités gouvernementales cambodgiennes chargées du contrôle des élections, ainsi que le ciblage de figures de l’opposition. Cette campagne a lieu alors que se préparent les élections générales dans le pays, qui auront lieu le 29 juillet prochain. TEMP.Periscope a utilisé la même infrastructure pour une série d’activités visant des cibles plus traditionnelles, dont l’industrie de la défense aux États-Unis et une société de l’industrie chimique en Europe. Voir notre article précédent consacré au ciblage par le même groupe de sociétés d’ingénierie et de transport maritime aux Etats Unis.

Globalement, cette activité indique que le groupe exploite une importante architecture d’intrusion et un large éventail d’outils, et cible des victimes très diverses, ce qui est en ligne avec la stratégie traditionnelle des acteurs chinois en matière d’APT (menaces persistantes avancées). Nous pensons que cette activité fournit au gouvernement chinois une visibilité étendue sur les élections cambodgiennes et les actions du gouvernement de ce pays. De plus, ce groupe est clairement capable de mener simultanément plusieurs intrusions à grande échelle ciblant un large éventail de types de victimes.

Notre analyse a également renforcé notre affirmation que ces activités peuvent être attribuées à ce groupe. Nous avons observé les outils que nous avions précédemment attribués à ce groupe, les cibles visées sont en ligne avec ses actions passées et sont également très similaires aux opérations APT connues menées par le Chine. En outre, une adresse IP originaire de Hainan en Chine a été enregistrée pour des activités C2 (command and control).

TEMP.Periscope en bref

Actif depuis au moins 2013, TEMP.Periscope s’est principalement intéressé à des cibles du secteur maritime dans de nombreux domaines, dont l’ingénierie, le transport, la fabrication, la défense, les agences gouvernementales et la recherche universitaire. Toutefois, le groupe a également ciblé des services de consulting et les industries high tech, de la santé et des médias. Ses cibles identifiées sont principalement basées aux Etats Unis, même si des organisations en Europe et au moins une à Hong Kong ont également été touchées. TEMP.Periscope coïncide en termes de ciblage, ainsi que de tactiques, techniques et procédures (TTPs), avec le groupe TEMP.Jumper.

Chinese Espionage Group TEMP.Periscope Targets Cambodia Ahead of July 28, 2018 Elections 
Vendetta Brothers, Inc ;  A window into the business of the cybercriminal underground 
FireEye iSIGHT Threat Intelligence