Le premier site d'actualité sur le Tibet

www.tibet.fr

09/01/19 | 12 h 37 min par Sanil Chohan, Winnona DeSombre, et Justin Grosfelt / traduction France Tibet

Cyberespionnage chinois : des réseaux tibétains à la nouvelle route de la soie

Cyberespionnage chinois émanant de l’Université chinoise de Tsinghua

Note d’application : Recorded Future a analysé un nouveau logiciel malveillant ciblant la communauté tibétaine, il a abouti à une analyse détaillée du logiciel malveillant et de sa structure associée. Les sources incluent la plate-forme de Recorded Future, VirusTotal, ReversingLabs et des métadonnées tierces, ainsi que des enrichissements communs de métadonnées OSINT et réseau, tels que DomainTools Iris et PassiveTotal. Cette recherche fait partie d’une série mettant en évidence l’étendue des techniques sophistiquées utilisées par l’État chinois contre ses menaces intérieures.

Synthèse du rapport :

Suite à notre recherche sur les campagnes chinoises RedAlpha visant la communauté tibétaine, le groupe Insikt de Recorded Future a identifié une nouvelle porte dérobée Linux appelée «ext4», déployée contre ce même groupe de victimes tibétaines. En analysant la porte dérobée, nous avons découvert plusieurs tentatives de connexion au même serveur Web CentOS compromis émanant d’une infrastructure enregistrée à l’Université Tsinghua ①, une institution universitaire chinoise d’élite.
Nous avons également identifié des activités de reconnaissance de réseau menées à partir de la même infrastructure de l’Université Tsinghua et visant de nombreuses organisations géopolitiques, notamment le gouvernement de l’État d’Alaska, le Département des ressources naturelles de l’Alaska, le bureau des Nations Unies à Nairobi et l’Autorité Portuaire du Kenya. De plus, nous avons identifié le balayage ciblé de la multinationale allemande de l’industrie automobile Daimler AG qui avait annoncée, le jour précédent, devoir réduire ses perspectives de bénéfices pour l’année, citant les tensions commerciales croissantes entre les États-Unis et la Chine. Dans plusieurs cas, ces activités ont eu lieu pendant les périodes de dialogue chinois en vue d’une coopération économique avec ces pays ou organisations.
Nous estimons que les activités de reconnaissance du réseau que nous avons découvertes ont été menées par des acteurs parrainés par l’État chinois en faveur des objectifs de développement économique de la Chine.

Résultats de l’enquête :

  • L’IP de l’Université de Tsinghua ( IP 166.111.8 [.] 246) a participé à des opérations de reconnaissance de réseau visant des organisations situées en Alaska, au Kenya, au Brésil et en Mongolie au cours de dialogues économiques ou de publicité entourant les investissements chinois
  • Le ciblage de la multinationale allemande de l’automobile Daimler AG, a été observé un jour après qu’elle ait annoncé un avertissement sur la réduction de ses bénéfices compte tenu de la montée des tensions commerciales entre les États-Unis et la Chine.
  • «ext4» n’autorisait les connexions TCP 443 entrantes au réseau compromis que pendant une fenêtre de 180 secondes toutes les heures, les paquets nécessitant une combinaison unique d’options d’en-tête TCP pour une connexion réussie. Dans plus de 20 tentatives observées, l’IP de l’Université de Tsinghua n’a pas transmis les options TCP correctes pour activer la porte dérobée. Cela laisse suggérer 2 possibilités :

-Les acteurs de la menace qui se connectaient depuis l’IP de Tsinghua étaient mal informés de la séquence de connexion correcte “ext4” et faisaient des erreurs.

-Le ciblage du réseau tibétain n’est pas associé à la présence de la porte dérobée «ext4» et le réseau était en train d’être sondé conformément aux activités plus larges de reconnaissance de réseau géopolitique et économique menées par Tsinghua.

Les activités de reconnaissance du réseau contre les organisations de l’Alaska ont augmenté à la suite du voyage de la délégation commerciale du gouverneur de l’Alaska en Chine, fin mai. Les organisations visées par les activités de reconnaissance se trouvaient dans des industries au cœur des discussions commerciales, telles que le pétrole et le gaz. L’IP de l’Université de Tsinghua a tenté à plusieurs reprises de se connecter à un réseau tibétain compromis, par une porte dérobée très sophistiquée, «ext4».L’IP de l’Université de Tsinghua a tenté au moins une fois de s’abonner au portail Internet haute vitesse d’un hôtel basé aux États-Unis. Nous estimons que cela pourrait peut-être démontrer une intention de violer les passerelles Internet Nomadix dans le secteur de l’hôtellerie utilisant des serveurs WindWeb vulnérables.dans des projets d’infrastructures étrangères dans le cadre de l’initiative phare «Belt and Road» (BRI)

Contexte :

La République populaire de Chine (RPC) revendique sa souveraineté sur le Tibet et considère tous les mouvements indépendantistes tibétains comme des menaces séparatistes. Alors que la RPC utilise de nombreuses formes de coercition contre la communauté tibétaine, le cyberespionnage envers des cibles tibétaines est devenu un outil fréquemment utilisé, en particulier en période d’exacerbations des tensions. Le premier incident connu de cyberespionnage chinois contre le Tibet, baptisé GhostNet, remonte à 2008 ; il faisait partie d’une tentative plus vaste de surveillance de cibles étrangères d’intérêt national. Depuis, de nombreuses campagnes de cyberespionnage contre les Tibétains ont été documentées, notamment dans le récent rapport RedAlpha de Recorded Future.

L’Université Tsinghua est située dans le district de Haidian à Beijing. Surnommée le «MIT chinois», il s’agit de l’une des meilleures universités de recherche technique en Chine. Les universités chinoises ont souvent été associées directement et indirectement aux cyber-capacités l’État chinois. En 2015, l’ APT17 (groupe de hackers chinois, NdT) a été connectée à un professeur de l’Université du Sud-Est de Chine et en 2017, l’Armée de libération du peuple (APL) s’est associée à l’Université Xi’an Jiaotong pour créer un programme de cyber-milices. L’Université de Tsinghua est elle-même une institution publique et figure parmi les plus grandes écoles de recherche et d’ingénierie au monde. Les capacités offensives de ses étudiants en matière de cybernétique sont particulièrement connues grâce à Blue-Lotus, une équipe de recherche sur la sécurité composée de personnes affiliées à l’Université Tsinghua. L’équipe a terminé deuxième lors de la conquête du drapeau de DEF CON 2016 (épreuve d’une convention internationale de pirates informatiques, NdT).

Les départements de recherche de l’Université de Tsinghua ont également des liens avec des organisations d’État ayant déjà volé la technologie américaine. Le bureau de la recherche scientifique et du développement de l’Université Tsinghua a rencontré en mai 2018 les activités du groupe CITIC pour la réunion du Parti communiste chinois, au cours duquel elles ont discuté de la coopération stratégique entre entreprises et instituts de recherche au service du développement du pays. Dans le Comité restreint de 1999 sur la sécurité nationale et les préoccupations militaires et commerciales avec la République populaire de Chine (le «rapport Cox»), le CITIC était lié aux opérations secrètes de l’APL et au vol de technologies américaines sensibles. Le rapport Cox cite également une tentative faite en 1990 par le CITIC pour acquérir un fabricant américain de pièces d’avions pour le compte de l’APL (Armée de Libération du Peuple chinois) afin d’accéder à la technologie aérospatiale contrôlée par les États-Unis en matière d’exportation. En outre, l’ancien président de CITIC, Wang Zhen, a été impliqué dans l’acte d’accusation de 1996 de Poly Technologies, suite à la tentative de la société d’introduire clandestinement aux États-Unis 2 000 fusils d’assaut AK-47 chinois.

L’Institut des systèmes d’information et d’ingénierie de Tsinghua est également ouvertement affilié aux programmes nationaux 863 et 973 de la Chine. Le programme 863, également appelé « Plan national de développement des technologies de pointe », est axé sur le développement des capacités nationales dans les industries technologiques clés de la Chine, tandis que le programme 973, créé en 1997, est consacré au développement des technologies de base nécessaires à ces industries clés. Les deux programmes ont eu pour effet d’aider la Chine à voler plus facilement des propriétés intellectuelles afin d’atteindre ses objectifs.

Au cours des 10 dernières années, un certain nombre d’acteurs des cyber-menaces commandités par l’État chinois ont été identifiés comme menant un cyberespionnage généralisé reflétant directement les directives de la politique chinoise, visant à obtenir un avantage scientifique, technique et économique dans des industries stratégiques clés. Cette activité a récemment été observée par APT10 auprès de fournisseurs de services informatiques gérés, et par APT17, qui a mené des attaques de grande envergure contre le logiciel populaire CCleaner en 2017.

Analyse de la menace :

Recorded Future a découvert la présence de la porte dérobée «ext4» lors de nos recherches en cours sur le ciblage de la communauté tibétaine. Cette porte dérobée a été configurée pour s’exécuter sur un serveur Web Linux exécutant CentOS et a été conçue furtivement pour être intégrée à un fichier système. La porte dérobée était généralement inactive, sauf pendant une fenêtre de trois minutes toutes les heures où elle s’activerait et accepterait les connexions entrantes sur le port TCP 443.

Au total, la couverture unique de Recorded Future nous a permis d’observer 23 tentatives de connexion au même serveur CentOS compromis entre mai et juin 2018. Chaque tentative provenait de la même adresse IP, 166.111.8 [.] 246, qui provient du Centre du Réseau de Recherche et d’Education Chinois. Les enregistrements WHOIS (annuaire des adresses IP, NdT) révèlent que l’IP se situe dans une plage étendue / 16 CIDR enregistrée à une adresse située à «l’Université Tsinghua».

Une sélection unique d’options dans l’en-tête TCP, définie à la taille de segment maximale possible de 60 octets, a été observée dans chaque paquet tentant de se connecter au réseau tibétain à partir de l’IP de Tsinghua, comme indiqué dans le PCAP ci-dessous :

PCAP de tentative de connexion de Tsinghua IP au serveur CentOS tibétain compromis

Le code «ext4» semble être unique, sans trace apparente de similitude de code ou de nom. Mis à part pour nos propres tests, aucune mise en ligne d’une porte dérobée ressemblant aux caractéristiques clés de «ext4» n’a été constatée dans les principaux référentiels multi-analyseurs au 3 août 2018. Un taux de détection de 0/58 dans VirusTotal confirme que « ext4 », que nous avons découvert, est une nouvelle et unique porte dérobée ciblant la communauté tibétaine.

L’Université de Tsinghua, IP 166.111.8 [.] 246

Cette IP a été observée pour la première fois dans Recorded Future le 23 mars 2018, puis déduite du Centre du Réseau de Recherche et d’Education Chinois (CERNET), selon plusieurs sources. CERNET est l’un des six principaux réseaux centraux de la Chine. Il s’agit d’une organisation fourre-tout qui dessert un vaste espace IP adressable réservé aux instituts universitaires et de recherche chinois. Comme indiqué précédemment, les enregistrements WHOIS confirment que l’IP se situe dans une plage enregistrée auprès de «l’Université Tsinghua».

(…)

L’enrichissement de l’IP par Recorded Future montre qu’elle a été la source d’analyses, d’attaques brutales et de tentatives d’exploitation active par le passé. Elle a déclenché plusieurs règles de risque, notamment le signalement par le Bureau de l’éducation de la ville de Taichung à Taïwan, qui suit les indicateurs cybermalveillants d’origine chinoise, et figure dans la liste noire d’AlienVault. L’analyse des métadonnées de l’IP indique en outre qu’il s’agit probablement d’une passerelle, d’un NAT (traduction d’adresses réseaux, NdT ) ou d’un proxy, et que la véritable machine à l’origine de cette activité se situe en amont de cette IP.

La même adresse IP a également été observée lors de la reconnaissance de réseau à grande échelle d’organisations qui étaient engagées dans des discussions commerciales clés avec des entités d’État chinois à l’époque. Nous pensons que ces activités de reconnaissance n’étaient pas une coïncidence, car elles correspondent largement aux intérêts stratégiques et économiques de la Chine.

 

« L’opportunité Alaska »

 

Entre le 6 avril et le 24 juin 2018, nous avons observé plus d’un million de connexions IP entre le réseau IP de Tsinghua et plusieurs réseaux en Alaska, notamment:

  • Alaska Communications Systems Group
  • Département des ressources naturelles de l’Alaska
  • Alaska Power & Telephone Company
  • Gouvernement de l’état de l’Alaska
  • TelAlaska

Le grand nombre de connexions entre l’IP Tsinghua et les organisations susmentionnées, a trait au balayage en bloc des ports 22, 53, 80, 139, 443, 769 et 2816 sur les réseaux de l’Alaska et a probablement été établi pour déterminer les vulnérabilités et obtenir un accès illégitime. L’activité 

de scannage a été menée de manière systématique avec des plages IP entières dédiées aux organisations interrogées pour les ports ci-dessus.

Le gouvernement de l’État de l’Alaska a été ciblé à la suite de la grande mission commerciale de l’Alaska en Chine, baptisée «Opportunity Alaska». Cette mission commerciale a eu lieu à la fin du mois de mai et était dirigée par Bill Walker, gouverneur de l’Alaska. Au cours de ces entretiens, l’une des discussions les plus médiatisées s’est déroulée autour de la perspective d’un gazoduc entre l’Alaska et la Chine. Malgré les craintes d’une guerre commerciale Chine-Etats-Unis, le bureau du gouverneur Walker a déclaré que cette mission commerciale « représentait [l’une des meilleures] que l’Alaska puisse offrir, et… la grande diversité de nos intérêts communs avec notre plus grand partenaire commercial ». Opportunity Alaska se composait de délégués d’Alaska dans les secteurs de la pêche, du tourisme, de l’architecture et de l’investissement, et s’est arrêté à Beijing, Shanghai et Chengdu.

Activités de détection de réseau par Tsinghua IP ciblant des institutions de l’Alaska et coïncidant avec la délégation commerciale de l’Alaska en Chine en mai 2018

Recorded Future a observé pour la première fois l’activité de balayage contre les réseaux de l’Alaska à la fin du mois de mars, quelques semaines seulement après que le gouverneur Walker eut annoncé une délégation commerciale en Chine. L’activité a repris quelques jours avant l’arrivée de la délégation le 20 mai 2018 et s’est arrêtée au fur et à mesure de son arrivée. Les sondages sur les réseaux de l’Alaska sont restés très bas jusqu’au 28 mai, au moment où la délégation a conclu ses activités, puis ont considérablement augmenté lorsque les délégués ont quitté la Chine. Le pic d’activité dans la numérisation à la fin des discussions commerciales sur des sujets connexes indique que cette activité visait probablement à mieux comprendre le point de vue de l’Alaska sur cette visite et son avantage stratégique lors des négociations après la rencontre.

Un regain d’intérêt s’est manifesté pour les réseaux des départements de l’État de l’Alaska et du Département des ressources naturelles de l’Alaska entre le 20 et le 24 juin. C’est peut-être en réponse à la décision du gouverneur Walker, le 19 juin, d’annoncer son intention de se rendre à Washington, Californie, pour rencontrer des représentants américains et chinois afin de leur faire part de ses préoccupations concernant le différend commercial grandissant entre les deux pays.

L’initiative « Belt and Road » et les objectifs économiques de la Chine :

Au Kenya :

Au cours de nos recherches, nous avons également observé les ports de numérisation IP de Tsinghua et interrogé des réseaux de ministères et d’entités commerciales en Mongolie, au Kenya et au Brésil. Chacun de ces pays est une destination clé pour l’investissement dans le cadre de l’Initiative « Belt and Road » (BRI) de la Chine ( dite nouvelle route de la soie, NdT).

La BRI chinoise est l’un des programmes les plus ambitieux du président Xi Jinping. Prévue pour projeter l’influence géopolitique transformatrice de la Chine à travers le monde, l’ampleur et la portée de ce projet sont sans précédent. Beijing a d’ores et déjà investi 4 000 milliards de dollars dans des projets d’infrastructure et de développement dans 65 pays, touchant 70% de la population mondiale et 75% des réserves d’énergie du monde. Ce programme vise à relier les principaux centres économiques de l’Eurasie par voie terrestre et maritime, dont beaucoup servaient jadis à l’ancienne Route de la soie, il y a deux mille ans.

Selon The Diplomat, « la BRI a pour objectif de stabiliser les périphéries occidentales de la Chine, de relancer son économie, de propulser des institutions économiques internationales non occidentales, de gagner de l’influence dans d’autres pays et de diversifier les fournisseurs et les itinéraires commerciaux tout en court-circuitant le pivot américain par l’Asie ».

L’Initiative « Belt and Road » chinoise. Source : Mercator Institute for China Studies, merics.org

 

La BRI vise également à renforcer l’influence géopolitique et économique de la Chine en Afrique, en capitalisant sur les investissements importants en infrastructures réalisés sur le continent. Le Kenya, en particulier, a fait l’objet d’une attention accrue en raison de son avantage géographique stratégique dans l’Initiative de la Route de la soie maritime (MSRI) de la Chine, composante de la BRI et basée en mer.

Au début de cette année 2018, le Kenya a annoncé qu’il ferait du lobbying pour des projets régionaux dans le cadre de la BRI. La Chine a déjà financé un chemin de fer de 480 km entre la ville portuaire kenyane de Mombasa et sa capitale Nairobi. le chemin de fer devrait éventuellement s’étendre aux pays voisins, l’Ouganda, le Rwanda et le Burundi. Cependant, en mai 2018, le Kenya a annoncé qu’il ne signerait pas d’accord de libre-échange avec la Chine, en cours de discussion avec les États de la Communauté de l’Afrique de l’Est (EAC), ce qui aurait entraîné des tensions entre Beijing et Nairobi.

Début juin 2018, nous avons observé l’adresse IP de Tsinghua balayant de manière agressive les ports 22, 53, 80, 389 et 443 de différents fournisseurs d’hébergement Internet et de sociétés de télécommunications au Kenya, ainsi que des plages dédiées à la Kenya Ports Authority, une société d’État pour l’entretien et l’exploitation de tous les ports du Kenya. Recorded Future a également identifié des activités de reconnaissance de réseau dirigées vers le Bureau des Nations Unies à Nairobi, la Strathmore University du Kenya et un réseau plus vaste d’éducation nationale.

Le graphique ci-dessous montre une nette augmentation des activités de reconnaissance du réseau contre les organisations kényanes issues de l’IP de Tsinghua. Ce pic a eu lieu deux semaines à peine après l’annonce par le Kenya de son intention de ne pas soutenir l’accord de libre-échange Chine-EAC :

Événements de reconnaissance de réseau dirigés par Tsinghua IP ciblant des institutions kényanes, associés à des développements économiques clés entre la Chine et le Kenya, de mars 2018 à juin 2018

Au Brésil :

En avril 2018, le président Xi a ajouté le Brésil à la liste des pays recevant des investissements chinois en infrastructures de la part de la BRI. Le financement d’un nouveau port de 520 millions de dollars dans l’État du Maranhão, dans le nord-est du pays, a été annoncé. Il s’inscrit dans la continuité des investissements massifs de la Chine en 2016 dans les secteurs de l’éducation et de l’énergie dans un autre État brésilien, Amapá.

Notre recherche a mis à jour des tentatives répétées de l’IP de Tsinghua de se connecter au Ministério Público do Estado Do Amapá au Brésil (ministère public de l’État d’Amapá) entre le 2 avril et le 11 juin 2018, un mois seulement après que China Communications Construction Co. ait commencé la construction du port de Maranhão.

Enregistrement chronologique de l’activité IP de Tsinghua en corrélation avec Opportunity Alaska et les annonces clés de la BRI

 

L’impact des tensions commerciales croissantes entre les États-Unis et la Chine : l’affaire Daimler AG

Le 20 juin 2018, la multinationale allemande de l’industrie automobile Daimler AG a été la première entreprise à décider de réduire ses perspectives de bénéfices en raison de l’escalade des tensions commerciales entre les États-Unis et la Chine. Le lendemain, le 21 juin, nous avons observé une activité de reconnaissance de réseau visant spécifiquement les ports 139, 22, 443 et 53 des réseaux de Daimler AG. Les sondes indiquent la même IP de l’Université Tsinghua.

Activité de l’IP de Tsinghua sur les réseaux de Daimler AG sur les ports 139, 22, 443 et 53 entre le 20 et le 24 juin 2018

 

Interaction avec un fournisseur de solutions pour réseau hôtelier géré aux États-Unis :

Une requête Shodan sur l’IP de Tsinghua a renvoyé une réponse HTTP 302 servant une notification de redirection «snap.safetynetaccess.com». Basé à Needham, dans le Massachusetts, Safety NetAccess construit des réseaux sans fil pour des hôtels, des centres de villégiature et d’autres propriétés publiques. Parmi ses clients figurent les chaînes hôtelières Hilton, Marriott, Sonesta et Wyndham. Selon le site Web Safety NetAccess, SNAP est son « logiciel de back-end avancé » qui fournit aux agents de Safety NetAccess un « accès direct à tout équipement géré, quel que soit leur emplacement ». Bien que les champs de la notification de réacheminement puissent paraître obscurs, ils correspondent aux paramètres de la page de portail pour les passerelles Internet Nomadix – passerelle principale et fournisseur d’acheminement de Safety NetAccess.

La réponse d’en-tête HTTP (ci-dessus) a montré que l’IP 98.180.88 [.] 145 de Cox Communications avait été demandé à l’origine par «l’abonné» (SIP), l’IP 166.111.8 [.] 246 de Tsinghua. Naviguer vers Cox Communications IP redirige les utilisateurs vers un portail Internet invité Safety NetAccess dans un hôtel Holiday Inn situé à Ocala, en Floride.

Connexion au portail de sécurité NetAccess pour un Holiday Inn à Ocala, en Floride.

 

Décomposer l’URL dans le champ «Emplacement» de la réponse http, permet d’obtenir l’adresse MAC du périphérique Tsinghua (00: 13: 5F: 07: 87: D9) et l’adresse IP du périphérique Nomadix (68.105.161 [.] 74), indiqué comme UIP dans l’URL. L’UIP résout Cox Communications à Ocala, en Floride, et des recherches à source ouverte indiquent que le périphérique hébergeant cet UIP est une passerelle Internet montée en rack AG 3100 Nomadix, prenant en charge la redirection DNS et HTTP à l’aide d’une adresse IP « magique ». Il semble également que cet UIP exécute un serveur WindWeb vulnérable sur le port 443. Les résultats de Shodan montrent que les tentatives de connexion FTP sur la passerelle Internet, échouent, ainsi que les événements Telnet.

D’après les données limitées dont nous disposons, nous estimons qu’il est possible que l’IP de Tsinghua tente de tirer parti des contrôles d’accès administratif à distance activés par le portail SNAP de Safety NetAccess pour l’hôtel Holiday Inn en Floride.

La porte dérobée «ext4» est-elle associée à l’IP de Tsinghua?

La découverte de la porte dérobée «ext4» sur un périphérique tibétain nous a permis d’identifier le ciblage plus large du périphérique à partir de l’IP de l’université de Tsinghua. Cependant, aucune des tentatives de connexion au dispositif tibétain depuis l’IP de Tsinghua n’a abouti à l’activation de la porte dérobée, laissant ainsi incertain le fait que les acteurs de la menace derrière les activités de reconnaissance du réseau généralisé soient également responsables de la porte dérobée «ext4».

Cela nous laisse avec deux scénarios possibles expliquant l’implication de la porte dérobée «ext4» sur un réseau tibétain avec l’IP de Tsinghua:

1-Un acteur malveillant utilise l’adresse IP de Tsinghua pour accéder à la porte dérobée «ext4», mais une erreur technique ou une erreur de l’opérateur entraîne la mauvaise configuration des paquets de connexion TCP nécessaires pour établir la communication avec la porte dérobée.

2-L’IP de Tsinghua est largement utilisée pour mener des activités de reconnaissance de réseau et de cyberespionnage contre des intérêts économiques et nationaux stratégiques, ciblant non seulement les pays avec lesquels la Chine s’engage dans le cadre de la BRI, mais également les organisations «Cinq poisons» ②, comme le réseau tibétain. La porte dérobée «ext4» est donc susceptible d’appartenir à un autre acteur malveillant qui n’est pas impliqué dans l’activité de scannage de réseau à l’encontre d’organisations évoquée plus haut dans le présent rapport.

Pour l’analyse technique de la porte dérobée « ext4 », voir l’article original (en anglais) https://www.recordedfuture.com/chinese-cyberespionage-operations/

 

Mise en perspective

La Chine continue de recourir à des cyber-opérations pour surveiller et suivre les menaces qui, selon elle, nuirait à sa stabilité nationale, résumées clairement par le terme «Cinq poisons». Cette focalisation sur les menaces nationales permet aux chercheurs en sécurité d’identifier de nouvelles campagnes et de nouveaux outils utilisés de manière agressive contre les communautés persécutées. «ext4» est une porte dérobée Linux légère et sophistiquée conçue pour permettre à l’acteur malveillant d’accéder au périphérique compromis et de mener d’autres activités malveillantes. C’est également un exemple d’outil utilisé probablement par les acteurs de l’Etat chinois pour cibler la communauté tibétaine.

En outre, l’utilisation généralisée des serveurs CentOS, dont beaucoup ne sont pas corrigés et utilisés dans les systèmes de production, met en évidence l’étendue de la surface d’attaque potentielle.

L’initiative «Belt and Road» de la Chine et ses investissements à long terme dans les infrastructures africaines, ont permis à la Chine d’exercer une influence considérable dans les pays visés par ces politiques. Nous estimons que les vastes activités de reconnaissance de réseau émanant des infrastructures de l’Université Tsinghua et visant des intérêts économiques au Kenya, en Mongolie et au Brésil, sont dirigées par l’état chinois.

La Chine a pratiqué à plusieurs reprises le cyberespionnage pour défendre ses intérêts économiques nationaux. En novembre 2017, le DOJ (Department Of Justice, Etats-Unis)) a inculpé trois pirates chinois reconnus coupables de cyberespionnage économique. En outre, dans son récent rapport sur l’espionnage économique étranger dans le cyberespace, le centre américain de contre-espionnage national et de sécurité nationale, a souligné que les acteurs chinois de la menace APT10, KeyBoy et Temp.Periscope avaient mené une vaste opération de cyberespionnage dans l’intérêt des bénéfices stratégiques et économiques nationaux chinois.

Hormis la découverte de la porte dérobée «ext4» ciblant la communauté tibétaine, nous n’avons pas identifié la présence de logiciels malveillants dans les organisations répertoriées dans ce rapport, car la plus grande partie de notre analyse était basée sur des métadonnées tierces. Cependant, nous estimons que le balayage ciblé et l’analyse de réseaux au cours du commerce bilatéral et du dialogue stratégique entre la Chine et ses homologues alaskiens, kényans, brésiliens et mongols indiquent que l’activité est menée par un acteur malveillant (ou plusieurs, ayant accès au même point de terminaison Tsinghua) dirigé par l’État chinois.

 

Pour accéder à nos recommandations concernant la défense des réseaux, voir l’article original (en anglais) https://www.recordedfuture.com/chinese-cyberespionage-operations/

Notes :

①L’Université de Tsinghua est également romanisée Université de Qinghua.

②Les «Cinq poisons» sont perçues par le Parti communiste chinois comme des menaces à sa stabilité, notamment des Ouïghours, des Tibétains, du Falun Gong, du mouvement de la démocratie chinoise et du mouvement indépendantiste de Taïwan.