Des hackers ont espionné 58 sites internet à la recherche de dissidents chinois

Selon le chercheur qui a dévoilé l’attaque, « Tetris » serait utilisé par le gouvernement chinois.

Un chercheur en sécurité utilisant le pseudonyme Imp0rtp3 a découvert une attaque Web prétendument développée par des pirates travaillant pour le gouvernement chinois. Selon le chercheur, l’outil appelé « Tetris » a été injecté dans 58 sites Web populaires auprès de la population chinoise et dans les codes du site du New York Times. L’outil exploiterait les vulnérabilités de ces sites afin de traquer les dissidents politiques chinois.

Tetris utilise les fonctions natives des navigateurs pour enregistrer les frappes du clavier, voler des informations sur le système d’exploitation et les données de géolocalisation. Il serait également capable de prendre des photos du visage de la victime à l’aide d’une webcam. Cependant, l’utilisation de la webcam ne passerait pas inaperçue et ferait apparaître les notifications correspondantes dans le navigateur.

Un outil en deux parties

Comme l’a noté le chercheur, Tetris est un outil d’espionnage Web assez sophistiqué. Dès qu’un utilisateur ouvrait un des sites infectés, le premier des deux composants de l’outil appelé « Jetriz », était activé et collectait les données du navigateur de l’utilisateur. Si la langue chinoise était définie dans les paramètres du navigateur, la victime potentielle était alors redirigée vers un deuxième composant appelé « Swid » qui installe quinze plugins JavaScript dans le navigateur, et restent ensuite sur l’ordinateur. Ces plugins permettraient aux attaquants d’obtenir des données telles que des noms d’utilisateur, des numéros de téléphone et des noms réels, mais sont incapables de compromettre les mots de passe ou les cookies.

Jetriz collecte les données et Swid injecte ensuite le code malicieux © imp0rtp3

Bien que cette technique ne permette pas le vol de mots de passe ou de cookies, les attaquants peuvent selon Imp0rtp3, collecter des données telles que des noms d’utilisateur, des numéros de téléphone et des noms réels. Des informations qui peuvent ensuite être facilement associées à une personne spécifique.

Le chercheur ne doute pas que le groupe utilisant cet outil travaille pour le gouvernement chinois, même s’il n’a pas identifié le noms des responsables. Cette théorie est étayée par le fait que les pirates ne s’intéressent qu’à un nombre limité de personnes utilisant un clavier chinois et lisant des publications qui critiquent le gouvernement actuel de la République Populaire de Chine.

Un type d’attaque peu commun

Ce type de surveillance est inhabituel dans le monde de la sécurité. La plupart des menaces visent généralement à voler des informations sensibles ou cherchent à causer un préjudice financier aux victimes, ce qui n’est pas le cas de Tetris. L’opération permettrait néanmoins de recueillir des informations susceptibles de déboucher sur des arrestations dans le monde réel et d’ouvrir des failles de sécurités pour installer par la suite d’autres logiciels malveillants.

Selon le chercheur, la menace peut être évitée facilement en utilisant des extensions de navigateur telles que NoScript ou en utilisant le mode de navigation privée proposé par les navigateurs.