« L'Office of Tailored Access Operations de la National Security Agency a mené les attaques contre la Northwestern Polytechnical University à Xi'an. Une équipe du centre et de 360 Security Technology inc. a analysé les systèmes d'information de l'université après qu'une attaque provenant de l'étranger a été signalée en juin. La NSA a mené plus de 10 000 cyberattaques "vicieuses" sur des cibles chinoises au cours des dernières années, recueillant plus de 140 gigaoctets de données de "grande valeur" », a déclaré le Centre national chinois de réponse aux urgences liées aux virus informatiques (CVERC) dans un communiqué.
La NSA et le département américain d'État ont refusé de commenter ces allégations. Mais selon des critiques, c'est la dernière tentative de Pékin pour riposter aux plaintes de Washington concernant le cyberespionnage. En effet, ces dernières années, Washington a régulièrement accusé Pékin de piratage contre des entreprises et des agences gouvernementales américaines, l'un des sujets sur lesquels les liens entre les deux puissances se sont dégradés ces dernières années. La Chine a toujours nié ces allégations et s'est à son tour attaquée au prétendu cyberespionnage américain, mais elle a rarement divulgué des attaques spécifiques.
Selon le rapport du CVERC, c'est l'Office of Tailored Access Operations (TAO) de la NSA qui a infiltré la Northwestern Polytechnical University. L'université est financée par le ministère chinois de l'Industrie et des Technologies de l'information et est spécialisée dans la recherche aéronautique et spatiale. Le TAO se serait infiltré dans les réseaux de l'université et aurait pris "le contrôle de dizaines de milliers de dispositifs de réseau", dont des serveurs, des routeurs et des commutateurs de réseau. Il aurait ensuite déployé des cyberarmes et aurait exploité des failles jusqu'alors inconnues dans le système d'exploitation SunOS.
Dans son rapport, le CVERC a déclaré : « le TAO a utilisé 41 armes et équipements de cyberattaque spécifiques à la NSA dans l'opération de cyberattaque contre la NWIT. Au cours de l'attaque, le TAO configurerait de manière flexible la même cyberarme en fonction de l'environnement cible. Par exemple, il existait 14 versions différentes de l'outil de porte dérobée "Cunning Heretic" (tel que nommé par la NSA) utilisé dans la cyberattaque contre la Northwestern Polytechnical University ». L'équipe technique a répertorié ces armes et les a classées suivant plusieurs catégories. En voici quelques-unes :
- Razor : cette arme peut être utilisée pour mener des attaques de vulnérabilité à distance sur des systèmes X86 et SPARC Solarise dont certains services RPC sont ouverts. L'attaque détecte automatiquement l'ouverture des services du système cible et sélectionne intelligemment la version appropriée du code d'exploitation pour prendre directement le contrôle total de l'hôte cible. Cette arme a été utilisée dans des attaques contre des appareils au Japon, en Corée et dans d'autres pays, et les appareils contrôlés ont été utilisés dans une cyberattaque contre la Northwestern Polytechnical University ;
- Silo : cette arme peut également être utilisée pour effectuer une attaque par débordement à distance sur un système Solaris avec un service RPC spécifié ouvert, prenant directement le contrôle total de l'hôte cible. La NSA a utilisé cette arme pour prendre le contrôle d'un serveur frontalier de la Northwestern Polytechnical University ;
- Second Date : cette arme réside sur les dispositifs et les serveurs situés à la périphérie du réseau, tels que les serveurs passerelles et les routeurs périphériques, et peut effectuer un filtrage précis et un détournement automatisé du trafic de données massif pour réaliser des fonctions d'attaque de type "man-in-the-middle" ;
- NOPEN : cette arme est un cheval de Troie de contrôle à distance qui prend en charge plusieurs systèmes d'exploitation et différentes architectures, et peut recevoir des commandes par le biais de tunnels chiffrés pour effectuer diverses opérations telles que la gestion de fichiers, la gestion de processus et l'exécution de commandes système, et dispose de ses propres capacités d'élévation de privilèges et de persistance. Le TAO a principalement utilisé cette arme pour contrôler de manière persistante les serveurs des activités principales et les principaux périphériques du réseau de la Northwestern Polytechnical University ;
- Fury Jet : cette arme est un cheval de Troie de contrôle à distance basé sur Windows qui prend en charge plusieurs systèmes d'exploitation et différentes architectures. Il peut être personnalisé pour générer différents types de serveurs de Troie en fonction de l'environnement du système cible, qui ont de fortes capacités d'anti-analyse et d'anti-débogage. Le TAO utilise cette arme en conjonction avec la plateforme "Acid Fox" pour mettre en œuvre un contrôle persistant des hôtes individuels au sein du réseau de bureaux du NWIT.
Le rapport indique que ces outils ont permis au TAO d'avoir accès à des "données techniques essentielles", notamment des mots de passe et le fonctionnement de dispositifs réseau clés. Le CVERC a déclaré que le TAO a "volé plus de 140 gigaoctets de données de grande valeur" ces dernières années et a reçu l'aide de groupes en Europe et en Asie du Sud. « Les attaques ont entraîné des risques importants et des dangers cachés pour le travail et la vie normaux de notre école », a déclaré un responsable de la cybersécurité de l'université. Ce rapport intervient quelques mois après que les États-Unis ont mis en garde contre de futures cyberattaques chinoises.
En juillet, le directeur du FBI, Christopher Wray, a averti les entreprises occidentales que la Chine visait à "saccager" leur propriété intellectuelle afin de pouvoir dominer à terme des industries clés. Les deux pays avaient précédemment convenu de ne pas tolérer le cybertrafic de propriété intellectuelle ou de secrets commerciaux lors de la visite d'État du président chinois Xi Jinping à Washington en 2015. Samantha Hoffman, analyste principale à l'Australian Strategic Policy Institute, a déclaré qu'il y avait une recrudescence d'accusations chinoises spécifiques de cyberattaques américaines et que les États-Unis devraient en faire autant.
« Les États-Unis et leurs alliés doivent s'efforcer d'expliquer pourquoi l'activité de la Chine dans cet espace est anormale - au-delà de ce que font la plupart des agences de renseignement. Bien sûr, la Chine va probablement continuer à répondre par des accusations similaires, qui peuvent ou non être factuelles », a-t-elle déclaré. Par le passé, la Chine a généralement répondu à ces critiques en se présentant comme une victime du piratage informatique, en qualifiant les États-Unis d'"empire des pirates" et en rappelant les révélations faites en 2013 par Edward Snowden, ancien contractant de la NSA, sur l'espionnage américain.
Il a notamment affirmé que la NSA avait piraté les ordinateurs de l'université de Tsinghua, l'un des principaux centres de recherche chinois. Plus récemment, Pékin a modifié sa stratégie en accusant directement les États-Unis de cyberattaques et en désignant des cibles. En février, la société chinoise de cybersécurité Pangu Lab a déclaré avoir découvert des activités de piratage parrainées par les États-Unis en Chine : des logiciels malveillants dans les systèmes informatiques nationaux auraient été créés par le groupe de pirates Equation, "généralement considéré" comme lié à la NSA.
Greg Austin, spécialiste des cyberactivités chinoises à l'Institut international d'études stratégiques basé à Singapour, estime que l'approche chinoise vise à sensibiliser l'opinion publique aux activités américaines et à reprendre l'initiative diplomatique sur le plan mondial aux dépens des États-Unis et de leurs alliés, qui accusent la Chine d'attaques depuis plusieurs années. « C'est un changement de direction et probablement attendu depuis près de 10 ans. La disparité entre ce que le gouvernement américain et ses alliés ont publié sur la Chine et ce que la Chine a publié sur les attaques américaines et alliées est massive », a-t-il déclaré.
« Nous ne savions presque rien des responsables chinois sur l'ampleur des attaques américaines. Dans le même temps, les États-Unis et leurs alliés ont intensifié leurs investissements dans l'espionnage et la surveillance de la Chine et de la Russie », précise-t-il. Le radiodiffuseur d'État "China Central Television" et d'autres grands médias d'État ont fait état de piratages présumés à la Northwestern Polytechnical University.
Le journal Global Times du Parti communiste a également tweeté sur le rapport et l'a publié sur son compte de médias sociaux Weibo. La nouvelle a figuré parmi les principaux sujets d'actualité sur Weibo lundi, attirant 210 millions de vues. La police de Xi'an a déclaré dans un communiqué en juin que l'université avait signalé avoir détecté des courriels d'hameçonnage qui représentaient une "menace sérieuse pour la sécurité" des bases de données essentielles.
Source : Le rapport du CVERC
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des allégations des autorités chinoises ?
Voir aussi
Trois organisations sur cinq ont subi une perte ou une exfiltration de données causée par une erreur d'un employé sur un courriel au cours des 12 derniers mois, selon une étude de Tessian
France : des cyberattaques en provenance de Russie et de Chine seraient à l'origine des pannes de « Ma Classe à la Maison » selon l'OCLTIC, mais aucune preuve n'a été rendue publique
Biden : si les USA déclenchent une "véritable guerre armée", cela pourrait être le résultat de cyberattaques, le président US semble exaspéré par les cyberattaques répétées contre son pays
« La Chine est la source la plus prolifique, toutes nations confondues, de cyberattaques au monde contre les USA », d'après le directeur du FBI, dans un discours au musée présidentiel Ronald Reagan