July 29, 2021

Comment le piratage de la Chine est entré dans une nouvelle phase imprudente

Pendant des années, la Chine semblait fonctionner à l’extrémité la plus silencieuse du spectre du piratage parrainé par l’État. Alors que la Russie et la Corée du Nord ont mené des opérations de piratage, lancé des cyberattaques massivement perturbatrices et brouillé la frontière entre les cybercriminels et les agences de renseignement, la Chine s’est discrètement concentrée sur l’espionnage plus traditionnel, bien que prolifique, et le vol de propriété intellectuelle. Mais aujourd’hui, un message collectif de dizaines de pays appelle un changement dans le comportement en ligne de la Chine – et comment la traînée de chaos de sa principale agence de cyber-espionnage rivalise de plus en plus avec celle du régime de Kim ou du Kremlin.

Lundi, la Maison Blanche s’est jointe au gouvernement britannique, à l’UE, à l’OTAN et aux gouvernements du Japon à la Norvège dans des annonces mettant en lumière une série d’opérations de piratage chinois, et le ministère américain de la Justice a inculpé séparément quatre pirates chinois, dont trois sont On pense qu’il s’agit d’officiers du ministère chinois de la Sécurité d’État ou du MSS. La déclaration de la Maison Blanche blâme spécifiquement le MSS chinois pour une campagne de piratage de masse qui utilisait une vulnérabilité dans le logiciel Exchange Server de Microsoft pour compromettre des milliers d’organisations autour du monde. Il reproche également au MSS chinois de s’être associé à des organisations sous-traitantes qui se livrent à la cybercriminalité à but lucratif, fermant les yeux ou même tolérant des activités parascolaires telles que l’infection des victimes avec des ransomwares, l’utilisation de machines victimes pour l’extraction de crypto-monnaie et le vol financier. “La réticence de la RPC à lutter contre les activités criminelles des pirates informatiques sous contrat nuit aux gouvernements, aux entreprises et aux opérateurs d’infrastructures critiques par le biais de milliards de dollars de perte de propriété intellectuelle, d’informations exclusives, de paiements de rançon et d’efforts d’atténuation”, indique le communiqué.

Cette longue liste de péchés numériques représente un changement important dans le modus operandi des pirates chinois, dont une grande partie, selon les observateurs chinois, peut être attribuée à la réorganisation de ses cyberopérations par le pays en 2015. C’est à ce moment-là qu’il a transféré une grande partie du contrôle de l’Armée populaire de libération au MSS, un service de sécurité de l’État qui est devenu au fil du temps plus agressif à la fois dans ses ambitions de piratage et dans sa volonté de sous-traiter à des criminels.

“Ils grossissent. Le nombre de piratages a diminué mais l’échelle a augmenté”, a déclaré Adam Segal, directeur du programme Digital and Cyberspace Policy au Council on Foreign Relations, qui s’est longtemps concentré sur les activités de piratage de la Chine. C’est en grande partie parce que les pirates informatiques non gouvernementaux avec lesquels travaille le MSS n’obéissent pas nécessairement aux normes du piratage parrainé par l’État. “Il semble y avoir une sorte de plus grande tolérance de l’irresponsabilité”, dit Segal.

Le MSS a toujours préféré utiliser des intermédiaires, des sociétés écrans et des sous-traitants pour ses propres opérations pratiques, explique Priscilla Moriuchi, membre non-résidente du Belfer Center for Science and International Affairs de Harvard. “Ce modèle dans les opérations HUMINT et les cyber-opérations permet au MSS de maintenir un déni plausible et de créer des réseaux d’individus et d’organisations recrutés qui peuvent porter le poids du blâme lorsqu’ils sont pris”, explique Moriuchi, en utilisant le terme HUMINT pour désigner l’humain, non- côté cyber des opérations d’espionnage. “Ces organisations peuvent être rapidement brûlées et de nouvelles créées si nécessaire.”

Bien que ces sous-traitants offrent au gouvernement chinois une couche de déni et d’efficacité, ils conduisent également à moins de contrôle des opérateurs et à moins d’assurance que les pirates n’utiliseront pas leurs privilèges pour s’enrichir à côté – ou les officiers du MSS qui le font sortir les contrats. « À la lumière de ce modèle, il n’est pas du tout surprenant pour moi que les groupes de cyberopérations attribués au MSS mènent également des activités de cybercriminalité », ajoute Moriuchi.

La déclaration de la Maison Blanche dans son ensemble pointe vers une collection large, désordonnée et dans certains cas sans rapport d’activités de piratage chinois. Il était accompagné d’un inculpation distincte de quatre pirates informatiques affiliés à MSS, dont trois étaient des agents du MSS, tous accusés d’un large éventail d’intrusions ciblant des industries du monde entier, des soins de santé à l’aviation.

Mais plus inhabituel que le vol de données décrit dans cet acte d’accusation était le piratage de masse annoncé dans l’annonce de lundi, dans lequel un groupe connu sous le nom de Hafnium – désormais lié par la Maison Blanche au MSS chinois –a fait irruption dans pas moins de 30 000 serveurs Exchange dans le monde. Les pirates aussi laissé derrière soi ce que l’on appelle les « coquilles Web », leur permettant de retrouver l’accès à ces serveurs à volonté, mais introduisant également le risque que d’autres pirates informatiques découvrent ces portes dérobées et les exploitent à leurs propres fins. Cet élément de la campagne de piratage était “non ciblé, imprudent et extrêmement dangereux”, a écrit l’ancien directeur technique de Crowdstrike et fondateur de Silverado Policy Accelerator Dmitri Alperovitch, ainsi que le chercheur Ian Ward, dans un article de blog de mars. Au moins un groupe de ransomware a semblé essayer de se greffer hors de la campagne de Hafnium peu de temps après qu’il a été exposé.

Il n’y a aucune preuve claire que les pirates Hafnium du MSS ont eux-mêmes déployé des ransomwares ou des logiciels d’extraction de crypto-monnaie sur l’un de ces dizaines de milliers de réseaux, selon Ben Read, directeur de l’analyse du cyber-espionnage à la société de réponse aux incidents et de renseignement sur les menaces Mandiant. Au lieu de cela, les critiques de la Maison Blanche à l’encontre du gouvernement chinois pour avoir brouillé la cybercriminalité et le cyberespionnage semblent être liées à d’autres campagnes de piratage de plusieurs années qui ont plus clairement franchi cette ligne. En septembre de l’année dernière, par exemple, le DOJ inculpé cinq hommes chinois qui travaillaient pour un entrepreneur MSS connu sous le nom de Chengdu 404 Network Technology– connus dans l’industrie de la cybersécurité sous le nom de Barium avant qu’ils ne soient identifiés – qui sont tous accusés d’avoir piraté des dizaines d’entreprises à travers le monde dans une série d’opérations qui semblaient mélanger libéralement espionnage et cybercriminalité à but lucratif.

.