Connus naguère pour leur appétence dans l’espionnage industriel et économique, les hackers chinois se sont restructurés pour soutenir les nouveaux objectifs stratégiques de la Chine. Et ça fait mal.
Fini le piratage de réseaux informatiques pour mettre la main sur des brevets et exfiltrer des secrets de fabrication à tire-larigot. Fini le vol de données massif dans le but de favoriser la compétitivité des entreprises chinoises. À l’occasion de la conférence Cyber Defense Summit 2019, les analystes de FireEye ont expliqué que la posture des hackers chinois avait profondément changé au cours des cinq dernières années. Ils piratent moins, mais ils piratent mieux. Et leurs cibles ne sont plus les mêmes.
En tête de liste se trouvent désormais les réseaux télécoms, une cible assez classique dans le cyberespionnage.
« Les groupes chinois pénètrent les réseaux backbones et essayent d’y rester le plus longtemps possible. Ils les cartographient et les utilisent pour intercepter des communications, exfiltrer des SMS ou des journaux d’appel, et rechercher des individus. Tout cela fait preuve d’une plus grande maturité dans les opérations de piratage », expliquent Nalani Fraser et Kelli Vanderlee, analystes stratégiques chez FireEye.
Cyberespionage des flux SMS d’un opérateur
Ainsi, FireEye a par exemple détecté récemment sur un système Linux d’un opérateur une nouvelle famille de malware baptisée Messagetap. Créée par le groupe chinois APT41, l’un des plus prolifiques actuellement, elle permet de surveiller les communications téléphoniques et, surtout, d’effectuer à la volée des recherches dans les flux de SMS, en filtrant sur une liste d’identifiants (IMSI) et de mots-clés. Bref, c’est l’outil idéal pour surveiller les échanges de certains individus. Pour éviter d’être détecté, Messagetap n’est exécuté qu’en mémoire et ne laisse aucune trace sur le disque.
Un autre secteur, qui a pris de l’importance, est celui des médias. Les hackers chinois surveillent la presse en Asie de l’Est et du Sud-ouest, mais aussi en Amérique du Nord, dans le but de sonder l’opinion publique et de prévoir l’émergence de courants idéologiques.
« L’objectif stratégique est double : maintenir sa suprématie régionale et soutenir ses ambitions économiques dans le monde », soulignent les analystes.
Sans surprise, les médias hongkongais figurent parmi les plus attaqués. Certains éditeurs l’ont même été plus de dix fois.
« À terme, il n’est pas impossible que les hackers chinois complètent la surveillance par des opérations de manipulations d’informations, dans la mesure où ces groupes procèdent d’ores et déjà à des opérations de désinformation. Cela s’est vu, par exemple, pendant les dernières élections au Cambodge », poursuivent les analystes.
Piratage de chaînes d’approvisionnement
De nouvelles techniques apparaissent également, comme le piratage des chaînes d’approvisionnement. Un cas emblématique était l’infection de 50 000 ordinateurs Asus en juin 2018, par le piratage d’un outil de mise à jour du fabricant taïwanais. Les PC en question étaient sélectionnés au travers d’une liste blanche d’adresses MAC. Mais le malware final, qui porte la signature d’APT41, ne pouvait s’exécuter que sur un ordinateur très précis, identifié par le numéro de série du disque dur.
« C’était une technique complexe à réaliser, mais qui a l’avantage d’être très efficace tout en étant assez dissimulée », soulignent les analystes.
Un autre cas bien connu était l’infection d’une mise à jour de CCleaner qui été envoyée de manière automatique à plus de 2 millions de PC. Mais au final, seules 40 machines ont reçu le malware final, preuve que les hackers étaient à la recherche de personnes en particulier. Là encore, FireEye estime que l’ombre d’APT41 plane sur cette opération.
Tous ces changements reflètent en fait ceux que traverse la société chinoise dans son ensemble. La Chine est devenue un acteur économique de premier plan et dispose de ses propres champions technologiques. Elle n’a plus besoin de faire main basse sur la propriété intellectuelle des pays développés, en tous les cas plus de manière aussi massive.
L’accord passé en 2013 entre Barack Obama et Xi Jinping a également contribué à faire disparaître le cyberespionnage économique du radar.