peterschreiber.média | Getty Images
Le ministère américain de la Justice a dévoilé lundi un acte d’accusation accusant sept hommes d’avoir piraté ou tenté de pirater des dizaines d’entreprises américaines dans le cadre d’une campagne de 14 ans favorisant l’espionnage économique et la collecte de renseignements étrangers par le gouvernement chinois.
Selon les procureurs fédéraux, les sept accusés étaient associés à Wuhan Xiaoruizhi Science & Technology Co., Ltd., une société écran créée par le Département de la sécurité de l’État du Hubei, un avant-poste du ministère de la Sécurité de l’État situé dans la province de Wuhan. Le MSS, à son tour, a financé un groupe de menaces persistantes avancées suivi sous des noms tels que APT31, Zirconium Violet Typhoon, Judgment Panda et Altaire.
Une campagne incessante depuis 14 ans
« Depuis au moins 2010, les accusés… se sont livrés à des activités d’intrusion dans les réseaux informatiques au nom du HSSD, ciblant de nombreux responsables du gouvernement américain, diverses industries économiques et de défense américaines et divers responsables du secteur privé, des militants étrangers pour la démocratie, des universitaires et des parlementaires en réponse à événements géopolitiques affectant la RPC », ont affirmé les procureurs fédéraux. « Ces activités d’intrusion dans les réseaux informatiques ont abouti à la compromission confirmée et potentielle de comptes de messagerie professionnels et personnels, de comptes de stockage dans le cloud et d’enregistrements d’appels téléphoniques appartenant à des millions d’Américains, y compris au moins certaines informations qui pourraient être divulguées à l’appui d’une influence malveillante ciblant les processus démocratiques. et les institutions, les plans économiques, la propriété intellectuelle et les secrets commerciaux appartenant aux entreprises américaines, et ont contribué aux milliards de dollars estimés perdus chaque année en raison de l’appareil parrainé par l’État de la RPC pour transférer la technologie américaine vers la RPC.
Cette campagne incessante, qui dure depuis 14 ans, a ciblé des milliers d’individus et des dizaines d’entreprises par le biais d’attaques Zero Day, d’exploitation de vulnérabilités de sites Web et de ciblage de routeurs domestiques et d’appareils personnels de hauts responsables du gouvernement américain, de politiciens et du personnel de campagne électorale. des deux principaux partis politiques américains.
« Les responsables du gouvernement américain ciblés comprenaient des personnes travaillant à la Maison Blanche, dans les ministères de la Justice, du Commerce, du Trésor et d’État, ainsi que des sénateurs américains et des représentants des deux partis politiques », ont déclaré des responsables du ministère de la Justice. « Les prévenus et d’autres membres du groupe APT31 ont ciblé ces personnes à la fois sur des adresses e-mail professionnelles et personnelles. De plus, dans certains cas, les accusés ont également ciblé les conjoints des victimes, notamment les conjoints d’un haut fonctionnaire du ministère de la Justice, de hauts fonctionnaires de la Maison Blanche et de plusieurs sénateurs américains. Les cibles comprenaient également le personnel de campagne électorale des deux principaux partis politiques américains avant les élections de 2020. »
L’une des techniques utilisées par les accusés était l’envoi de courriels à des journalistes, des responsables politiques et des entreprises. Les messages, qui semblaient provenir de médias ou de journalistes, contenaient des liens de suivi cachés qui, une fois activés, donnaient aux membres d’APT31 des informations sur les emplacements, les adresses IP, les schémas de réseau et les appareils spécifiques des cibles à utiliser dans le cadre du suivi. -sur les attaques. Certaines des cibles de ces courriels comprenaient des responsables de gouvernements étrangers qui faisaient partie de l’Alliance interparlementaire sur la Chine, un groupe formé après le massacre de la place Tiananmen en 1989 et qui critique le gouvernement chinois ; chaque membre de l’Union européenne qui en fait partie est membre de ce groupe ; et 43 comptes parlementaires britanniques faisant partie du groupe ou critiques à l’égard de la République populaire de Chine.
APT31 a utilisé diverses méthodes pour infecter les réseaux d’intérêt avec des logiciels malveillants personnalisés tels que RAWDOOR, Trochilus, EvilOSX, DropDoor/DropCa, et plus tard l’outil de test de sécurité largement disponible Cobalt Strike Beacon. Fin 2016, le groupe de piratage informatique a exploité ce qui était alors une vulnérabilité zero-day dans un logiciel anonyme pour accéder à un sous-traitant de la défense non identifié. Dans leur acte d’accusation, les procureurs ont écrit :
En utilisant l’exploit d’élévation de privilèges Zero Day, les Conspirateurs ont d’abord obtenu un accès administrateur au réseau d’une filiale avant de finalement pivoter vers le réseau d’entreprise principal de l’entrepreneur de défense », ont écrit les procureurs dans l’acte d’accusation. « Les Conspirateurs ont utilisé une injection SQL, dans laquelle ils ont saisi un code malveillant dans la zone de saisie d’un formulaire Web pour accéder à des informations qui n’étaient pas destinées à être affichées, pour créer un compte sur le réseau de la filiale avec le nom d’utilisateur « testdew23 ». Les Conspirateurs ont utilisé un logiciel malveillant pour accorder des privilèges d’administrateur au compte utilisateur « testdew23 ». Ensuite, les Conspirators ont téléchargé un shell Web, ou un script permettant l’administration à distance de l’ordinateur, nommé « Bienvenue sur Chrome », sur le serveur Web de la filiale. Par la suite, les conspirateurs ont utilisé le shell Web pour télécharger et exécuter au moins deux fichiers malveillants sur le serveur Web, configurés pour ouvrir une connexion entre le réseau de la victime et des ordinateurs extérieurs à ce réseau contrôlés par les conspirateurs. Grâce à cette méthode, les conspirateurs ont réussi à obtenir un accès non autorisé au réseau de l’entrepreneur de la Défense.
Les autres cibles de l’APT31 incluent des entrepreneurs militaires et des entreprises des secteurs de l’aérospatiale, des services informatiques, des logiciels, des télécommunications, de la fabrication et des services financiers. APT31 est connu depuis longtemps pour cibler non seulement les individus et les entités détenant des informations d’intérêt primordial, mais également les entreprises ou les services sur lesquels s’appuient les cibles principales. Les principales cibles étaient les dissidents et les critiques de la RPC, ainsi que les entreprises occidentales en possession d’informations techniques utiles à la RPC.
Les procureurs ont déclaré que les cibles piratées avec succès par APT31 comprennent :
- un entrepreneur de défense agréé basé en Oklahoma qui a conçu et fabriqué des simulateurs de vol militaires pour l’armée américaine
- un entrepreneur agréé dans le domaine de l’aérospatiale et de la défense basé au Tennessee
- une société de recherche basée en Alabama dans les secteurs de l’aérospatiale et de la défense
- une société de services de soutien professionnel basée dans le Maryland qui desservait le ministère de la Défense et d’autres agences gouvernementales
- un important fabricant américain de logiciels et de services informatiques basé en Californie
- un fournisseur mondial de premier plan de technologie sans fil basé dans l’Illinois ; une entreprise technologique basée à New York
- une société de logiciels au service de l’industrie des contrôles industriels basée en Californie
- une société de conseil informatique basée en Californie ; une société de services informatiques et de traitement spatial basée au Colorado
- une société d’authentification multifactorielle ; une association commerciale américaine
- plusieurs sociétés de formation et de support en technologies de l’information
- un fournisseur leader d’équipements de réseau 5G aux États-Unis
- une société de solutions informatiques et de services d’intégration 5G basée dans l’Idaho
- une entreprise de télécommunications basée dans l’Illinois
- une société de technologie vocale dont le siège est en Californie ;
- une organisation commerciale de premier plan avec des bureaux à New York et ailleurs
- une association de fabrication basée à Washington, DC
- une entreprise sidérurgique
- une entreprise de vêtements basée à New York
- une société d’ingénierie basée en Californie
- une entreprise énergétique basée au Texas
- une société financière dont le siège est à New York
- Une multinationale américaine de conseil en gestion avec des bureaux à Washington, DC et ailleurs
- une société de notation financière basée à New York
- une agence de publicité basée à New York
- une société de conseil basée en Virginie ;
- plusieurs cabinets d’avocats mondiaux basés à New York et aux États-Unis
- un fournisseur de logiciels pour cabinets d’avocats
- un laboratoire d’apprentissage automatique basé en Virginie
- une université basée en Californie
- plusieurs hôpitaux et instituts de recherche situés à New York et au Massachusetts
- une organisation internationale à but non lucratif dont le siège est à Washington, DC.
Les prévenus sont :
- Ni Gaobin (倪高彬), 38 ans
- Weng Ming (翁明), 37 ans
- Cheng Feng (程锋), 34 ans
- Peng Yaowen (彭耀文), 38 ans
- Sun Xiaohui (孙小辉), 38 ans
- Xiong Wang (熊 旺), 35 ans
- Zhao Guangzong (赵光宗), 38 ans
Les hommes ont été accusés de complot en vue de commettre des intrusions informatiques et de complot en vue de commettre une fraude électronique. Bien qu’aucun des hommes ne soit détenu aux États-Unis ou susceptible de faire l’objet de poursuites, le Département du Trésor américain a sanctionné lundi Wuhan Xiaoruizhi Science and Technology Company, Limited. Le département a également désigné Zhao Guangzong et Ni Gaobin pour leur rôle dans les piratages ciblant les infrastructures critiques américaines.
« À la suite de l’action d’aujourd’hui, tous les biens et intérêts dans les biens des personnes et entités désignées décrites ci-dessus qui se trouvent aux États-Unis ou en possession ou sous le contrôle de personnes américaines sont bloqués et doivent être signalés à l’OFAC », ont écrit des responsables du Trésor. . « En outre, toutes les entités qui appartiennent, directement ou indirectement, individuellement ou globalement, à 50 % ou plus à une ou plusieurs personnes bloquées, sont également bloquées. Sauf autorisation par une licence générale ou spécifique délivrée par l’OFAC, ou exemptée, les réglementations de l’OFAC interdisent généralement toutes les transactions effectuées par des personnes américaines ou à l’intérieur (ou en transit) des États-Unis qui impliquent des biens ou des intérêts dans des biens de personnes désignées ou autrement bloquées.
Le Département d’État américain offre 10 millions de dollars pour toute information permettant d’identifier ou de localiser l’un des accusés ou d’autres personnes associées à la campagne.