Nous apprenons lentement à connaître le vaste réseau de piratage chinois

Les deux premiers mois de 2024 ont été marqués par plusieurs révélations sur l’étendue du vaste réseau de piratage chinois. Un avis conjoint de cybersécurité a récemment été publié par la CISA (Cybersecurity and Infrastructure Security Agency), la NSA et le FBI sur la mesure dans laquelle les pirates informatiques soutenus par l’État chinois ont eu accès aux principales infrastructures américaines au cours des cinq dernières années et ont implanté des logiciels malveillants qui pourraient provoquer des perturbations généralisées dans la société. Il a été co-écrit par le Département américain de l’Énergie, l’EPA et la Transportation Security Administration, ainsi que par les centres de cybersécurité du Canada, de l’Australie, de la Nouvelle-Zélande et du Royaume-Uni.

J’ai déjà fait état de vols massifs de propriété intellectuelle et de cyberespionnage en Chine, ici et ici. Ces activités comprenaient l’obtention de courriels et de communications de représentants du gouvernement.

La récente alerte de haut niveau exacerbe les tensions

Les pirates informatiques soutenus par l’État chinois ont intégré des logiciels malveillants dans des infrastructures américaines critiques, telles que des programmes utilisés pour gérer l’eau potable, le réseau électrique et le trafic aérien, entre autres. Selon la directrice de la CISA, Jen Easterly, lors d’une audition devant le comité spécial de la Chambre sur le Parti communiste chinois :

Il s’agit véritablement d’un scénario « Tout partout, tout à la fois ». Et c’est celui où le gouvernement chinois estime qu’il écrasera probablement la volonté américaine de défendre Taiwan en cas de conflit majeur là-bas.

Le directeur du FBI, Christopher Wray, a déclaré que les pirates informatiques soutenus par l’État chinois dormaient depuis cinq ans dans les infrastructures critiques américaines, prépositionnant des logiciels malveillants. En cas de conflit entre les États-Unis et la Chine, la Chine peut lancer une cyberattaque qui affaiblirait les opérations américaines. Les analystes du renseignement associent cette menace à un conflit potentiel autour de Taiwan, que les États-Unis ont promis de défendre en cas d’attaque chinoise sur l’île. Taïwan fonctionne comme un En fait nation mais est revendiqué par Pékin comme faisant partie de la République populaire de Chine.

Wray a décrit le programme de piratage chinois comme étant plus vaste que celui de toutes les nations réunies :

En fait, si l’on prenait chacun des cyberagents et analystes du renseignement du FBI et que l’on les concentrait exclusivement sur la menace chinoise, les pirates informatiques chinois seraient toujours plus nombreux que les cyberpersonnels du FBI dans une proportion d’au moins 50 contre un.

Comment les pirates informatiques entrent

Le réseau de piratage responsable de l’infiltration des infrastructures américaines a été baptisé Volt Typhoon, bien que le groupe soit connu sous d’autres noms : Vanguard Panda, Bronze Silhouette, Dev-0391, UNC 3236, Voltize et Insidious Taurus. (Le gardien 13/02/24).

Volt Typhoon a utilisé des techniques sophistiquées de vie hors terre pour infiltrer subrepticement les réseaux via des routeurs et d’autres appareils connectés à Internet. L’une des plus grandes faiblesses en matière de sécurité des réseaux et infrastructures numériques américains réside dans une technologie obsolète qui n’est plus prise en charge. Une autre faiblesse est l’erreur humaine ; les travailleurs peuvent tomber dans le piège des techniques de phishing qui récupèrent les informations d’identification de l’administrateur et les mots de passe des utilisateurs.

En décembre, le ministère américain de la Justice et le FBI ont obtenu une ordonnance du tribunal pour démanteler un vaste botnet qui utilisait des routeurs Cisco et Netgear obsolètes pour les petits bureaux et les bureaux à domicile (SOHO) pour infiltrer les systèmes d’infrastructure clés. Les agences ont obtenu l’ordonnance du tribunal pour accéder aux systèmes de routeurs sans la permission des propriétaires, car le niveau de risque justifiait une action immédiate.

Les pirates peuvent installer des logiciels malveillants dans des fichiers existants du système d’exploitation plutôt que de télécharger un nouveau fichier, plus facile à trouver. Le blog Dell SecureWorks décrit plusieurs façons dont Volt Typhoon/Bronze Silhouette est rapidement entré dans un système, puis a supprimé toute preuve de la présence de pirates.

Dell SecureWorks estime que ce nouveau type d’infiltration est une réponse à l’identification par le Département d’État américain de plusieurs pirates informatiques chinois :

Ces développements commerciaux ont probablement été motivés par une série d’inculpations très médiatisées du ministère américain de la Justice contre des ressortissants chinois prétendument impliqués dans des activités de cyberespionnage, des révélations publiques de ce type d’activités par des fournisseurs de services de sécurité et la pression probablement accrue qui en a résulté de la part des dirigeants de la RPC pour éviter contrôle public de ses activités de cyberespionnage.

L’acte d’accusation du ministère de la Justice de 2018 peut être consulté ici.

En 2023, Microsoft a signalé que des pirates informatiques soutenus par l’État chinois s’étaient positionnés pour perturber les communications entre les États-Unis et d’autres pays asiatiques en cas de conflit en mer de Chine méridionale. Il s’agit probablement d’une préparation à un conflit autour de Taiwan.

Un vieux jeu joué de nouvelles manières

Les services de renseignement américains suivent les activités de cyberespionnage de la Chine depuis plus de vingt ans. L’activité typique des pirates informatiques soutenus par l’État est la collecte de renseignements ou le cybervol. Dell SecureWorks et Microsoft signalent que le ciblage des infrastructures est une nouveauté pour les pirates informatiques soutenus par l’État chinois. Les responsables américains ont déclaré qu’une attaque contre une infrastructure américaine serait considérée comme un acte de guerre, au même titre que le bombardement de ponts, d’installations de traitement des eaux ou de centrales électriques.

Les attaques contre les infrastructures étaient rares avant 2010. Le premier exemple d’utilisation d’une cyberattaque comme arme dans un conflit international a été le ver Stuxnet, probablement développé par les États-Unis et Israël pour perturber le processus iranien d’enrichissement de l’uranium. Depuis lors, la guerre entre la Russie et l’Ukraine a intensifié le recours aux cyberattaques comme arme de guerre.

Selon la chronologie des cyberattaques du SCRS, depuis février 2022, date du début de la guerre, les cyberattaques russes ont principalement ciblé les infrastructures ukrainiennes. Auparavant, la Russie était responsable de la destruction du réseau électrique ukrainien en 2015 et 2016 et de la paralysie de plusieurs entreprises, notamment des banques, à l’aide d’un virus appelé NotPetya.

Taïwan surveille la réponse de l’Ukraine à la Russie, en particulier la façon dont elle déjoue les cyberattaques, en prévision d’une menace croissante de l’armée chinoise.

Parallèlement à l’Union soviétique

Le Parti communiste chinois a une longue histoire de parallèle avec l’ex-Union soviétique. Dans un article précédent, j’ai fait état de commentateurs qui considèrent la chute de l’Union soviétique et le printemps arabe comme les deux grandes insécurités de Xi Jinping. Le gouvernement chinois est calqué sur celui de l’ex-Union soviétique, même s’il est souvent qualifié de typiquement chinois. Aujourd’hui encore, nous voyons la Russie suivre la voie de l’Union soviétique, tandis que la Chine prend des notes.

Les cyberactivités chinoises ne sont pas impénétrables. Dans un prochain article, nous examinerons une récente fuite de fichiers provenant d’un groupe de pirates informatiques engagés par Pékin.