Des hackers ont utilisé Facebook pour relayer leurs attaques à motivation politique. Après la découverte de l'opération, le réseau social a décidé de tout rendre public. Il nomme frontalement l'entreprise et les groupes qu'il soupçonne d'être à l'origine de la cyberattaque.

Le 10 décembre, l’équipe de sécurité de Facebook a publié un communiqué inattendu, dans lequel il pointe du doigt deux pays, indirectement :

« Aujourd’hui, nous partageons les mesures que nous avons prises contre deux groupes de hackers — APT32 au Vietnam et un groupe basé au Bangladesh — afin de retirer leur capacité à utiliser leur infrastructure pour abuser de notre plateforme, distribuer des malwares et pirater des comptes »

APT32, affilié à l’État vietnamien par Facebook mais aussi par de précédentes recherches ces 5 dernières années, est un de ces groupes de hackers « soutenus par un État ». Ses actions relèvent du cyberespionnage et de la déstabilisation plutôt que de la recherche de gain financier. Aussi connu sous le nom Ocean Lotus, il serait financé par le gouvernement vietnamien afin de compliquer l’attribution de ses manœuvres politiques.

Contre les hackers vietnamiens, Facebook met les pieds dans le plat. // Source : Louise Audry pour Numerama

L’action de Facebook sort de l’habituel : non seulement elle expose publiquement l’entreprise qui aurait servi de couverture à APT32, CyberOne Group, mais elle accuse aussi de façon à peine détournée le gouvernement vietnamien. Le tout, sans donner le détail technique de son enquête. En résumé : le réseau social met les deux pieds dans le plat, là où d’habitude les entreprises de sécurité évitent de s’étendre en détail sur l’attribution des attaques. La lourde tâche d’accuser directement certains pays est plutôt réservée au ministère de la Justice américain. Comme le souligne ZDNet, les accusations de Facebook devraient donc être contestées.

APT32, un arsenal offensif varié au service des intérêts vietnamiens

D’après l’entreprise américaine, APT32 aurait créé des comptes et pages avec des identités fictives, se faisant passer pour des activistes ou des entreprises. Ces points d’entrée sur le réseau social leur servaient à prendre contact avec leurs cibles, prétextant un intérêt amoureux, financier ou politique. Ils diffusaient ensuite dans les conversations des liens vers des sites qu’ils contrôlent. Dans certains cas, ils ne visaient qu’à dérober des identifiants à l’aide d’un phishing, comme un faux formulaire. D’autres fois, ils essayaient de faire télécharger un malware.

D’après Facebook, le groupe faisait appel à des modes opératoires sophistiqués et variés : de l’ingénierie sociale, des malwares pour macOS, ou encore des outils faits maison… APT32 serait notamment parvenu à télécharger un malware Android sur le Google Play Store en passant outre les filtres de sécurité de l’outil. L’objectif, à chaque fois : espionner les actions de l’utilisateur.

Le réseau social détaille les cibles du groupe, toutes actrices de la situation politique au Vietnam et dans les pays voisins : des ONG, des gouvernements, dont ceux du Laos et du Cambodge, ou encore toutes sortes d’entreprises de services stratégiques. APT32 avait déjà été pointé du doigt plus tôt dans l’année par FireEye pour ses tentatives de cyberespionnage contre des responsables du Wuhan, à la recherche d’informations sur le coronavirus.

Facebook « doxx » une entreprise vietnamienne

Pour éviter que APT32 revienne sur son réseau, Facebook a supprimé les comptes et pages incriminés, mais aussi bloqué les noms de domaine liés au groupe. Il a aussi partagé des indicateurs afin que les autres réseaux sociaux puissent vérifier qu’ils ne sont pas également victimes des cybercriminels.

Dans son communiqué, le groupe de Mark Zuckerberg accuse nommément une entreprise d’informatique vietnamienne, CyberOne Group, de ne faire qu’un avec APT32. Le site internet de celle-ci n’est plus en ligne depuis ce 11 décembre, au lendemain de l’accusation, alors qu’elle affichait plusieurs offres d’embauche… Avec ce coup de projecteur public, Facebook marque un grand coup : une manière de gonfler les muscles face aux groupes qui essaieraient d’imiter APT32 ?

Crédit photo de la une : Logo Facebook / montage Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux