211service.com
Des hackers chinois se sont déguisés en Iran pour cibler Israël
Photo AP/Ng Han Guan
Lorsque des pirates informatiques ont pénétré par effraction dans les ordinateurs du gouvernement israélien et des entreprises technologiques en 2019 et 2020, les enquêteurs ont cherché des indices pour découvrir qui était responsable. Les premières preuves pointaient directement vers l'Iran, le rival géopolitique le plus controversé d'Israël. Les pirates ont déployé des outils normalement associés aux Iraniens, par exemple, et ont écrit en farsi.
Mais après un examen plus approfondi des preuves - et des informations recueillies dans d'autres cas de cyber-espionnage à travers le Moyen-Orient - les analystes ont réalisé qu'il ne s'agissait pas d'une opération iranienne. Au lieu de cela, il a été mené par des agents chinois se faisant passer pour une équipe de pirates informatiques de Téhéran.
Les pirates ont ciblé avec succès le gouvernement israélien, les entreprises technologiques et les entreprises de télécommunications – et en déployant de faux drapeaux, semble-t-il, ils espéraient induire les analystes en erreur en leur faisant croire que les assaillants appartenaient à l’ennemi régional d’Israël.
Nouvelle rechercher de la société américaine de cybersécurité FireEye, en collaboration avec l'armée israélienne, expose l'échec de la tromperie et décrit les techniques utilisées par les pirates dans leurs efforts pour rejeter la faute sur d'autres personnes.
Histoire connexe
Des pirates chinois se faisant passer pour le Conseil des droits de l'homme de l'ONU attaquent les Ouïghours Selon un nouveau rapport, des pirates informatiques de langue chinoise ciblent les musulmans ouïghours avec de faux rapports des Nations Unies et de fausses organisations de soutien.
Selon le document de recherche, bon nombre de leurs tactiques étaient des tentatives assez brutales pour suggérer qu'ils étaient des espions iraniens, comme l'utilisation de chemins de fichiers contenant le mot Iran. Mais les attaquants se sont également efforcés de protéger leur véritable identité en minimisant les preuves médico-légales qu'ils ont laissées sur les ordinateurs compromis et en cachant l'infrastructure qu'ils ont utilisée pour pénétrer dans les machines israéliennes.
Mais leur stratagème pour pointer du doigt l'Iran a échoué. Les pirates, que FireEye appelle UNC215, ont commis plusieurs erreurs techniques clés qui ont fait sauter leur couverture et les ont fortement liés à leur travail précédent. Par exemple, ils ont utilisé des fichiers, une infrastructure et des tactiques similaires dans plusieurs opérations au Moyen-Orient.
Il y a des éléments qui distingueront l'opérateur ou son sponsor, explique John Hultquist, vice-président du renseignement sur les menaces chez FireEye. Ils saigneront à travers de multiples opérations, quelle que soit la tromperie.
En plus des multiples cadeaux techniques, un autre indice important est le type d'informations ou de victimes ciblées par les pirates. L'UNC215 attaque à plusieurs reprises les mêmes types de cibles au Moyen-Orient et en Asie, toutes directement liées aux intérêts politiques et financiers de la Chine. Les cibles du groupe se chevauchent avec celles d'autres groupes de piratage chinois, qui ne coïncident pas toujours avec les intérêts des pirates informatiques iraniens connus.
Vous pouvez créer une tromperie importante, mais en fin de compte, vous devez cibler ce qui vous intéresse, dit Hultquist. Cela fournira des informations sur qui vous êtes en raison de vos intérêts.
La seule contre-mesure évidente à ce problème est de mettre les enquêteurs hors de piste en s'attaquant à des cibles qui ne présentent pas vraiment d'intérêt. Mais cela cause ses propres problèmes : augmenter le volume d'activité augmente considérablement les chances de se faire prendre.
Les empreintes digitales laissées par les assaillants ont suffi à convaincre les enquêteurs israéliens et américains que le groupe chinois, et non l'Iran, était responsable. Le même groupe de piratage a déjà utilisé des tactiques trompeuses similaires. En fait, il a peut-être même piraté le gouvernement iranien lui-même en 2019, ajoutant une couche supplémentaire à la tromperie.
C'est le premier exemple d'un piratage chinois à grande échelle contre Israël, et vient à la suite d'un ensemble d'investissements chinois de plusieurs milliards de dollars dans l'industrie technologique israélienne. Ils ont été fabriqués dans le cadre de l'initiative Ceinture et Route de Pékin, une stratégie économique destinée à étendre rapidement l'influence chinoise et atteindre clair à travers l'Eurasie jusqu'à l'océan Atlantique. Les États-Unis ont mis en garde contre les investissements au motif qu'ils constitueraient une menace pour la sécurité.
Mauvaise direction et mauvaise attribution
La tromperie de l'UNC215 contre Israël n'a pas été particulièrement sophistiquée ou réussie, mais elle montre à quel point l'attribution - et la mauvaise attribution - peut être importante dans les campagnes de cyber-espionnage. Non seulement il fournit un bouc émissaire potentiel pour l'attaque, mais il offre également une couverture diplomatique aux attaquants : lorsqu'ils sont confrontés à des preuves d'espionnage, les responsables chinois affirment régulièrement qu'il est difficile, voire impossible, de retracer les pirates. Lorsqu'il a été contacté pour commenter, un porte-parole de l'ambassade de Chine à Washington DC a déclaré que le pays 's'oppose fermement à toutes les formes de cyberattaques et les combat'.
Et la tentative de détourner les enquêteurs soulève une question encore plus importante : à quelle fréquence les tentatives sous fausse bannière trompent-elles les enquêteurs et les victimes ? Pas si souvent, dit Hultquist.
La chose à propos de ces efforts de tromperie est que si vous regardez l'incident à travers une ouverture étroite, cela peut être très efficace, dit-il. Mais même si une attaque individuelle est mal attribuée avec succès, une attaque individuelle peut être mal attribuée avec succès, mais au fil de nombreuses attaques, il devient de plus en plus difficile de maintenir la mascarade. C'est le cas des pirates chinois ciblant Israël tout au long de 2019 et 2020.
'Il est très difficile de maintenir la tromperie sur plusieurs opérations.'
John Hultquist, FireEye
Une fois que vous commencez à le lier à d'autres incidents, la tromperie perd de son efficacité, explique Hultquist. Il est très difficile de maintenir la tromperie sur plusieurs opérations.
La tentative la plus connue de mauvaise attribution dans le cyberespace était une cyberattaque russe contre la cérémonie d'ouverture des Jeux olympiques d'hiver de 2018 en Corée du Sud, surnommée Destructeur olympique . Les Russes ont tenté de laisser des indices pointant vers des pirates nord-coréens et chinois, avec des preuves contradictoires apparemment conçues pour empêcher les enquêteurs de parvenir à une conclusion claire.
Olympic Destroyer est un exemple étonnant de faux drapeaux et de cauchemar d'attribution, Costin Raiu, directeur de l'équipe mondiale de recherche et d'analyse chez Kaspersky Lab, tweeté à l'époque.
Finalement, les chercheurs et les gouvernements ont définitivement blâmé le gouvernement russe pour cet incident, et l'année dernière, les États-Unis inculpé six officiers du renseignement russe pour l'attaque.
Les pirates nord-coréens qui ont été initialement suspectés dans le piratage de l'Olympic Destroyer se sont eux-mêmes chuté fausses bannières lors de leurs propres opérations. Mais ils ont également été finalement capturés et identifiés à la fois par des chercheurs du secteur privé et par le gouvernement des États-Unis, qui inculpé trois hackers nord-coréens plus tôt cette année.
Il y a toujours eu une perception erronée selon laquelle l'attribution est plus impossible qu'elle ne l'est, dit Hultquist. Nous avons toujours pensé que les faux drapeaux entreraient dans la conversation et ruineraient tout notre argument selon lequel l'attribution est possible. Mais nous n'en sommes pas encore là. Ce sont encore des tentatives détectables de perturber l'attribution. Nous sommes toujours en train d'attraper cela. Ils n'ont pas encore franchi la ligne.