Fini le piratage de réseaux informatiques pour mettre la main sur des brevets et exfiltrer des secrets de fabrication à tire-larigot. Fini le vol de données massif dans le but de favoriser la compétitivité des entreprises chinoises. À l’occasion de la conférence Cyber Defense Summit 2019, les analystes de FireEye ont expliqué que la posture des hackers chinois avait profondément changé au cours des cinq dernières années. Ils piratent moins, mais ils piratent mieux. Et leurs cibles ne sont plus les mêmes.
En tête de liste se trouvent désormais les réseaux télécoms, une cible assez classique dans le cyberespionnage.
« Les groupes chinois pénètrent les réseaux backbones et essayent d’y rester le plus longtemps possible. Ils les cartographient et les utilisent pour intercepter des communications, exfiltrer des SMS ou des journaux d’appel, et rechercher des individus. Tout cela fait preuve d’une plus grande maturité dans les opérations de piratage », expliquent Nalani Fraser et Kelli Vanderlee, analystes stratégiques chez FireEye.
Cyberespionage des flux SMS d’un opérateur
Ainsi, FireEye a par exemple détecté récemment sur un système Linux d’un opérateur une nouvelle famille de malware baptisée Messagetap. Créée par le groupe chinois APT41, l’un des plus prolifiques actuellement, elle permet de surveiller les communications téléphoniques et, surtout, d’effectuer à la volée des recherches dans les flux de SMS, en filtrant sur une liste d’identifiants (IMSI) et de mots-clés. Bref, c’est l’outil idéal pour surveiller les échanges de certains individus. Pour éviter d’être détecté, Messagetap n’est exécuté qu’en mémoire et ne laisse aucune trace sur le disque.
Visual representation of how MESSAGETAP works
**note: once loaded from disk MESSAGETAP deletes the on-disk copies of itself so it is only running in memory on the Linux server #FireEyeSummit pic.twitter.com/3vHhzkB6UH
— Christopher Glyer (@cglyer) October 10, 2019
Un autre secteur, qui a pris de l’importance, est celui des médias. Les hackers chinois surveillent la presse en Asie de l’Est et du Sud-ouest, mais aussi en Amérique du Nord, dans le but de sonder l’opinion publique et de prévoir l’émergence de courants idéologiques.
« L’objectif stratégique est double : maintenir sa suprématie régionale et soutenir ses ambitions économiques dans le monde », soulignent les analystes.
Sans surprise, les médias hongkongais figurent parmi les plus attaqués. Certains éditeurs l’ont même été plus de dix fois.
« À terme, il n’est pas impossible que les hackers chinois complètent la surveillance par des opérations de manipulations d’informations, dans la mesure où ces groupes procèdent d’ores et déjà à des opérations de désinformation. Cela s’est vu, par exemple, pendant les dernières élections au Cambodge », poursuivent les analystes.
Piratage de chaînes d’approvisionnement
De nouvelles techniques apparaissent également, comme le piratage des chaînes d’approvisionnement. Un cas emblématique était l’infection de 50 000 ordinateurs Asus en juin 2018, par le piratage d’un outil de mise à jour du fabricant taïwanais. Les PC en question étaient sélectionnés au travers d’une liste blanche d’adresses MAC. Mais le malware final, qui porte la signature d’APT41, ne pouvait s’exécuter que sur un ordinateur très précis, identifié par le numéro de série du disque dur.
« C’était une technique complexe à réaliser, mais qui a l’avantage d’être très efficace tout en étant assez dissimulée », soulignent les analystes.
Un autre cas bien connu était l’infection d’une mise à jour de CCleaner qui été envoyée de manière automatique à plus de 2 millions de PC. Mais au final, seules 40 machines ont reçu le malware final, preuve que les hackers étaient à la recherche de personnes en particulier. Là encore, FireEye estime que l’ombre d’APT41 plane sur cette opération.
Tous ces changements reflètent en fait ceux que traverse la société chinoise dans son ensemble. La Chine est devenue un acteur économique de premier plan et dispose de ses propres champions technologiques. Elle n’a plus besoin de faire main basse sur la propriété intellectuelle des pays développés, en tous les cas plus de manière aussi massive.
L’accord passé en 2013 entre Barack Obama et Xi Jinping a également contribué à faire disparaître le cyberespionnage économique du radar.
La stratégie nationale change, le hacking aussi
« L’économie ralentit et la population vieillit. C’est pourquoi la Chine a décidé en 2015 de se positionner sur des produits innovants à plus grande valeur ajoutée et d’augmenter ses parts de marché dans le monde.
Pour y arriver, le pays a formalisé deux plans stratégiques, à savoir Made in China 2025. Et celui qui s’appuie sur le développement des nouvelles routes de la soie (Belt and Road Initiative) », expliquent les analystes.
Logiquement, les attaques chinoises ciblent désormais majoritairement l’Asie Pacifique.
Ces nouveaux plans stratégiques ont également provoqué une réorganisation des forces cyber. Auparavant, celles-ci étaient disséminées dans 12 « bureaux » au sein de l’armée populaire chinoise.
À partir de 2015, les équipes destinées aux actions extérieures ont été regroupées dans une organisation baptisée Strategic Support Forces (SSF). Les groupes les plus actifs sont APT41, APT40, APT10 et APT19.
Au cours de cette restructuration, FireEye a remarqué une très nette baisse des attaques chinoises sur les réseaux informatiques dans le monde.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.