L'exposé des voleurs de données chinois révèle des tactiques bâclées

Un immeuble de bureaux beige de la banlieue de Shanghai appartenant à l'armée chinoise est devenu mondialement célèbre mardi après que Mandiant, une société de sécurité informatique basée à Washington, a publié un Rapport de 60 pages alléguant qu'il abrite un groupe qui vole régulièrement des informations auprès d'entreprises américaines. Bien qu'il n'y ait aucune preuve directe que l'armée chinoise parraine la campagne, le rapport indique clairement que les personnes qui l'ont menée n'étaient pas les plus habiles des opérateurs.





Peuple chinois

Guerre électronique : L'Armée populaire de libération de la Chine est accusée d'avoir une unité dédiée au vol de secrets d'entreprises américaines et même d'avoir violé une entreprise dont le logiciel contrôle les infrastructures énergétiques.

Le groupe ne prenait souvent pas la peine de se cacher d'où un réseau était infiltré. Les enquêteurs de Mandiant ont surpris des attaquants en train de se connecter à des comptes Facebook, Twitter et Gmail en utilisant les ordinateurs qu'ils avaient attaqués, puis ont volé les mots de passe des pirates.

Le rapport de Mandiant intervient une semaine après que le président Obama a annoncé un nouvel effort pour défendre les États-Unis contre les attaques informatiques qui, selon lui, étaient utilisées pour voler des secrets d'entreprise et même jeter les bases d'un sabotage des infrastructures énergétiques (voir Obama annonce un plan pour consolider les cyberdéfenses). . Mandiant rapporte que le groupe qu'il a suivi, baptisé APT1, a volé des centaines de téraoctets de données commerciales sensibles à au moins 141 entreprises depuis 2006, et a également violé Telvent, une entreprise canadienne dont le logiciel est utilisé pour gérer à distance les infrastructures énergétiques. Mandiant allègue qu'APT1 fait partie de l'unité 61398 de l'armée chinoise et est engagé dans une campagne d'espionnage industriel pour aider les entreprises chinoises et recueillir des renseignements qui pourraient être utilisés pour des attaques informatiques contre l'infrastructure énergétique américaine. La plupart des victimes se trouvaient aux États-Unis, mais des entreprises au Canada, au Royaume-Uni, en Afrique du Sud et en Israël ont également été ciblées.



Mandiant, qui aide les entreprises à répondre aux attaques ciblées et à l'infiltration de leurs réseaux informatiques, fonde ses affirmations sur les informations provenant de nombreux cas impliquant le groupe APT1 au cours des six dernières années. Dans de nombreux cas, les employés de Mandiant ont secrètement observé des agents de l'APT1 au travail à l'intérieur des ordinateurs des victimes.

De nombreuses tactiques découvertes de cette manière semblent de mauvais choix pour un groupe dont le travail consiste à éviter la détection. Les agents se sont régulièrement connectés aux comptes Facebook, Twitter et Gmail à l'aide des ordinateurs de leurs victimes.

Ces comptes étaient principalement utilisés pour envoyer des e-mails frauduleux utilisés pour inciter les gens à installer des logiciels malveillants utilisés pour violer de nouveaux systèmes. Regarder cela et voler les mots de passe a fourni des preuves précieuses qui reliaient les attaques menées contre différentes entreprises. Cela a même permis à Mandiant d'inférer l'existence de plusieurs personas en ligne distincts, supposés représenter des membres particuliers de l'APT1.



Mandiant explique que cette tactique risquée est utilisée pour contourner les restrictions du système chinois de censure sur Internet, qui bloque l'accès à Facebook et à de nombreux autres sites occidentaux. (La société n'a pas expliqué pourquoi les experts en sécurité informatique travaillant pour l'armée sur des missions secrètes ne disposeraient pas d'autres moyens de contourner le grand pare-feu chinois. De nombreux touristes et visiteurs d'affaires en Chine utilisent des services VPN commerciaux pour éviter la censure Internet chinoise.)

Mandiant a également trouvé des preuves qu'un membre de l'équipe APT1 utilisait une identité en ligne, UglyGorilla, qu'il ou elle utilisait depuis des années en ligne. Des recherches sur Google ont révélé que la poignée avait été utilisée en 2004 lors d'une session de questions-réponses en ligne de l'armée chinoise, demandant La Chine a-t-elle des cyber-troupes ?

Le fait que le groupe APT1 ait souvent fait peu d'efforts apparents pour cacher son emplacement physique constitue le principal fondement de l'affirmation de Mandiant selon laquelle le groupe faisait en fait partie de l'unité 61398 et à l'intérieur de ce nouveau célèbre immeuble de bureaux. La société affirme que de nombreux indices pointent vers la nouvelle zone de Pudong, une banlieue de Shanghai où, selon Mandiant, le bâtiment de l'armée chinoise est la seule installation importante dotée d'une infrastructure de communication de haute qualité.



Les attaquants n'ont parfois pas pris la peine d'utiliser des méthodes pouvant masquer l'adresse IP - un numéro unique à chaque ordinateur connecté à Internet - utilisée pour accéder aux systèmes compromis par le groupe, affirme Mandiant. Les adresses IP collectées en conséquence et par rétro-ingénierie des outils de masquage IP lorsqu'elles étaient utilisées étaient associées à Shanghai et à la nouvelle zone de Pudong. Les noms de domaine Web utilisés par le groupe se sont également avérés être enregistrés à des adresses et des numéros de téléphone dans ces régions.

Les deux types d'indices auraient pu être mieux cachés ou obscurcis relativement facilement. L'exactitude des données d'enregistrement de domaine n'est pas vérifiée lors de l'enregistrement d'un domaine. Le groupe APT1 a utilisé des outils qui brouillent la véritable adresse IP d'origine des données Internet, mais ils n'ont pas été utilisés tout le temps.

De nombreuses techniques auraient pu rendre les opérations du groupe plus secrètes, explique Dmitri Alperovitch, cofondateur et directeur de la technologie de la start-up de sécurité Crowdstrike, qui travaille sur de nouvelles façons de détecter et de tromper les attaquants comme ceux utilisés par le groupe APT1. Alperovitch a aidé à mener l'enquête sur les attaques Aurora qui ont pris naissance en Chine et ont pénétré des entreprises américaines, dont Google (voir Google révèle les efforts d'espionnage chinois). Cependant, une sécurité opérationnelle bâclée n'exclut pas l'unité 61398, dit-il. C'est très courant avec les acteurs chinois, y compris ceux liés à l'APL [Armée populaire de libération], dit-il, probablement parce qu'ils se fichent bien de se faire prendre. Alperovitch affirme que sa société a identifié d'autres unités de l'armée chinoise menant des attaques similaires à celles de l'APT1.



Les autorités chinoises ont nié que leur pays ait un quelconque lien avec les opérations décrites par Mandiant, sans offrir de répliques spécifiques aux points soulevés par la société. Jeffrey Carr, fondateur d'analystes en sécurité informatique Taia Global et auteur du livre À l'intérieur de la cyberguerre , pense que ces protestations sont peut-être vraies. Il ne doute pas que l'armée chinoise mène des attaques et de la surveillance informatiques, mais pense qu'elle fonctionnerait de manière plus professionnelle que l'APT1.

Sophistiqué est un terme très vaguement utilisé, dit-il à propos de l'étiquetage des attaques par Mandiant. Je ne crois pas que l'armée chinoise ou ses services de renseignement utiliseraient des méthodes aussi évidentes et seraient si souvent découverts, dit-il. Si le gouvernement chinois était vraiment derrière toutes les attaques revendiquées par Mandiant, il est terrible.

cacher