Mardi dernier, les chercheurs de l’entreprise de sécurité FireEye ont remarqué que des entreprises japonaises faisaient l’objet d’attaques ciblées, les assaillants utilisant un exploit tirant profit de la vulnérabilité CVE-2015-5122 identifiée dans Flash Player, et corrigée ce même jour par Adobe Systems. Avant cette date, la vulnérabilité était connue de tous, la mention de l’exploit ayant été trouvée dans les 400 Go de données de la Hacking Team divulguées récemment. Un pirate inconnu a réussi à s’introduire dans le réseau de l’éditeur milanais qui vend des logiciels de surveillance et des outils d’intrusion à des agences gouvernementales partout dans le monde et il a publié les courriels échangés par l’entreprise, la liste de ses clients, des dossiers, du code source, de la documentation et des exploits logiciels jusque-là inconnus.
La méthode utilisée par le groupe de pirates qui a ciblé les entreprises japonaises est dite « compromis de web stratégiques », une technique également connue sus le nom d’attaque de trous d’eau ou « watering attack ». La tactique consiste à compromettre des sites web habituellement visités par des entreprises d’un secteur particulier. Dans le cas présent, les deux sites web appartenaient à l’entreprise japonaise International Hospitality and Conference Service Association (IHCSA) et à la société de cosmétiques, également japonaise, Cosmetech. Quand les victimes visitaient leurs sites web, des scripts malveillants chargeaient l’exploit Flash Player. Même si les chercheurs de FireEye n’ont pas pu dire exactement comment les victimes avaient été attirées vers ces sites web compromis, on peut supposer que les attaquants ont mené une bonne campagne de phishing, car il est peu probable que les internautes aient pu arriver sur ces sites par hasard. « Nous ne savons pas non plus quel groupe est à l’origine de l'attaque, mais le programme malveillant installé par l'exploit est presque exclusivement utilisé par des groupes de pirates chinois », ont déclaré les chercheurs de FireEye dimanche dans un blog.
« Les capacités d’innovation et la force de l’économie japonaise dans le secteur des hautes technologies et les matériels de précision ont suscité l'intérêt de plusieurs groupes de hackers chinois, spécialistes des attaques persistantes avancées qui considèrent les entreprises japonaises comme une source profitable de propriété intellectuelle et de veille concurrentielle », ont-ils ajouté. Avant eux, d'autres groupes de cyberespions avaient mis à profit un autre exploit Flash Player trouvé dans les documents de la Hacking Team et corrigé par Adobe il y a deux semaines. Cette fois, les attaques avaient visé des organismes gouvernementaux américains, obligeant le FBI à émettre une alerte.