Hidden Lynx: un groupe de hackers chinois très pointu

Symantec vient de livrer les fruits d’une étude sur un groupe de pirates nommé Hidden Lynx, impliqué dans la célèbre opération Aurora. Un groupe apparemment très compétent qui vend ses services au plus offrant.

Les auteurs de l’opération Aurora s’étaient fait remarquer, en 2009, en visant notamment les fournisseurs de l’armée américaine et ses partenaires, tels que des fabricants de composants électroniques et mécaniques, en exploitant des failles inédites avec un recours à l’hameçonnage ciblé. Mais le groupe responsable des attaques avait également eu recours à des opérations de «watering hole», visant les vulnérabilités de sites Web fréquemment visités par les employés des entreprises ciblées : les cybercriminels attendent que leur victime visite le site compromis puis analysent son poste de travail à la recherche de vulnérabilités. L’opération Aurora avait été d’une telle ampleur que Google aurait eu, in fine, décidé de se détourner de Windows pour ses postes de travail.

Selon Symantec, le groupe Hidden Lynx serait lié à cette vaste opération. Il constituerait «une organisation professionnelle proposant des pirates à la location». Le groupe serait d’une telle taille qu’il pourrait «attaquer de nombreuses organisation en lançant des campagnes en parallèle», oeuvrant avec «méthode et rapidité.» Symantec l’estime entre 50 et 100 personnes, des «experts dans l’infiltration de systèmes», utilisant notamment deux chevaux de Troie conçus spécifiquement l’un, pour la prise de contrôle à distance de machines, et l’autre pour viser les cibles à haute valeur ajoutée, Trojan.Naid, notamment exploité durant l’opération Aurora.

Pour Symantec, une bonne partie de l’infrastructure et des outils «utilisés durant ces campagnes viennent d’infrastructures réseau en Chine.» Hidden Lynx serait ainsi «beaucoup plus avancé que d’autres groupes opérant aussi dans cette région, tel que APT1», ou Comment Crew. Toutefois, en volume, ce dernier continuerait de dépasser Hidden Lynx.