Pendant le weekendquelqu’un a publié une cache de fichiers et de documents apparemment volés à l’entrepreneur en piratage du gouvernement chinois, I-Soon.
Cette fuite donne aux chercheurs en cybersécurité et aux gouvernements rivaux une chance sans précédent de regarder derrière le rideau des opérations de piratage du gouvernement chinois facilitées par des entrepreneurs privés.
À l’instar de l’opération de piratage et de fuite qui a ciblé le fabricant italien de logiciels espions Hacking Team en 2015, la fuite d’I-Soon comprend des documents et des communications internes de l’entreprise, qui montrent qu’I-Soon aurait été impliqué dans le piratage d’entreprises et d’agences gouvernementales en Inde, au Kazakhstan, Malaisie, Pakistan, Taiwan et Thaïlande, entre autres.
Les fichiers divulgués ont été publiés vendredi sur le site de partage de code GitHub. Depuis, les observateurs des opérations de piratage chinoises se sont penchés fébrilement sur les fichiers.
« Il s’agit de la fuite de données la plus importante liée à une entreprise soupçonnée de fournir des services de cyberespionnage et d’intrusion ciblée aux services de sécurité chinois », a déclaré Jon Condra, analyste en renseignement sur les menaces au sein de la société de cybersécurité Recorded Future.
Pour John Hultquist, analyste en chef chez Mandiant, société détenue par Google, cette fuite est « étroite, mais profonde ». « Nous avons rarement un accès aussi illimité au fonctionnement interne d’une opération de renseignement. »
Dakota Cary et Aleksandar Milenkoski, analystes de la société de cybersécurité SentinelOne, ont écrit dans un article de blog que « cette fuite fournit un aperçu unique en son genre des opérations internes d’un entrepreneur en piratage affilié à l’État ».
Et Mathieu Tartare, chercheur en logiciels malveillants chez ESET, a déclaré que la fuite « pourrait aider les analystes des renseignements sur les menaces à relier certaines compromission qu’ils ont observées à I-Soon ».
L’une des premières personnes à avoir découvert la fuite était un chercheur taïwanais en renseignement sur les menaces, connu sous le nom d’Azaka. Dimanche, Azaka a publié un long fil de discussion sur X, anciennement Twitter, analysant certains documents et fichiers, qui semblent datés de 2022. Le chercheur a mis en avant le logiciel d’espionnage développé par I-Soon pour Windows, Mac, iPhone et appareils Android, ainsi que des dispositifs de piratage matériel conçus pour être utilisés dans des situations réelles et capables de déchiffrer les mots de passe Wi-Fi, de localiser les appareils Wi-Fi et de perturber les signaux Wi-Fi.
Le « WiFi Near Field Attack System » d’I-Soon, un dispositif permettant de pirater les réseaux Wi-Fi, déguisé en batterie externe. (Capture d’écran: Azaka)
« Nous, chercheurs, avons enfin la confirmation que c’est ainsi que les choses fonctionnent là-bas et que les groupes APT travaillent à peu près comme nous tous, travailleurs réguliers (sauf qu’ils sont horriblement payés). » Azaka a déclaré à TechCrunch, « que l’échelle est assez grande, qu’il existe un marché lucratif pour pénétrer dans les grands réseaux gouvernementaux ». Les APT, ou menaces persistantes avancées, sont des groupes de piratage généralement soutenus par un gouvernement.
Selon l’analyse des chercheurs, les documents montrent qu’I-Soon travaillait pour le ministère chinois de la Sécurité publique, le ministère de la Sécurité d’État, l’armée et la marine chinoises ; et I-Soon ont également présenté et vendu leurs services aux forces de l’ordre locales à travers la Chine pour aider à cibler des minorités comme les Tibétains et les Ouïghours, une communauté musulmane qui vit dans la région occidentale de la Chine du Xinjiang.
Les documents relient I-Soon à APT41, un groupe de piratage du gouvernement chinois qui serait actif depuis 2012, ciblant des organisations de différents secteurs des secteurs de la santé, des télécommunications, de la technologie et du jeu vidéo dans le monde entier.
En outre, une adresse IP trouvée dans la fuite I-Soon hébergeait un site de phishing que l’organisation de défense des droits numériques Citizen Lab a vu utilisé contre des Tibétains lors d’une campagne de piratage en 2019. Les chercheurs de Citizen Lab ont alors nommé le groupe de piratage « Poison Carp ».
Azaka, ainsi que d’autres, ont également trouvé des journaux de discussion entre les employés d’I-Soon et la direction, certains d’entre eux extrêmement banals, comme des employés parlant de jeux d’argent et jouant au mahjong, un jeu chinois populaire à base de tuiles.
Cary a mis en évidence les documents et les discussions qui montrent combien – ou combien peu – les employés d’I-Soon sont payés.
Contactez-nous
En savez-vous plus sur I-Soon ou les hacks du gouvernement chinois ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.
« Ils sont payés 55 000 $ [US] — en dollars de 2024 — pour pirater le ministère vietnamien de l’Économie, ce n’est pas beaucoup d’argent pour une cible comme celle-là », a déclaré Cary à TechCrunch. « Cela me fait penser à quel point il est peu coûteux pour la Chine de mener une opération contre une cible de grande valeur. Et qu’est-ce que cela nous apprend sur la nature de la sécurité de l’organisation ?
Ce que la fuite montre également, selon Cary, c’est que les chercheurs et les entreprises de cybersécurité devraient considérer avec prudence les actions futures potentielles des groupes de piratage mercenaires en fonction de leurs activités passées.
« Cela démontre que le comportement de ciblage antérieur d’un acteur menaçant, en particulier lorsqu’il s’agit d’un sous-traitant du gouvernement chinois, n’est pas révélateur de ses cibles futures », a déclaré Cary. « Il n’est donc pas utile de regarder cette organisation et de se dire : « oh, ils ont seulement piraté le secteur de la santé, ou ils ont piraté l’industrie X, Y, Z, et ils ont piraté ces pays ». Ils répondent à ce que ces [government] les agences le demandent. Et ces agences pourraient demander quelque chose de différent. Ils pourraient faire affaire avec un nouveau bureau et un nouvel emplacement.
L’ambassade de Chine à Washington, DC, n’a pas répondu à une demande de commentaires.
Un e-mail envoyé à la boîte de réception d’assistance d’I-Soon est resté sans réponse. Deux employés anonymes d’I-Soon ont déclaré à l’Associated Press que l’entreprise avait eu une réunion mercredi et avait dit au personnel que la fuite n’aurait pas d’impact sur leur entreprise et qu’ils « continueraient à travailler normalement ».
À ce stade, il n’y a aucune information sur qui a publié les documents et fichiers divulgués, et GitHub a récemment supprimé le cache divulgué de sa plate-forme. Mais plusieurs chercheurs conviennent que l’explication la plus probable est un employé actuel ou ancien mécontent.
« Les gens qui ont rassemblé cette fuite lui ont donné une table des matières. Et la table des matières de la fuite montre les employés qui se plaignent des bas salaires et des conditions financières de l’entreprise », a déclaré Cary. « La fuite est structurée de manière à embarrasser l’entreprise. »