La Chine a publié un rapport qui révèle que la National Security Agency (NSA) des Etats-Unis a utilisé de multiples outils de cybersécurité lors de ses récentes attaques contre une université chinoise. Parmi ceux-ci figurent des programmes de reniflage (sniffing) et des chevaux de Troie, qui, selon les chercheurs chinois, ont conduit au vol d’une « grande quantité de données sensibles ».
Le Centre national chinois d’intervention d’urgence contre les virus informatiques (CVERC) a déclaré mardi que « 41 types de cyberarmes » ont été utilisés par l’unité de piratage de la NSA, Tailored Access Operations (TAO), dans les cyberattaques visant l’Université polytechnique du Nord-Ouest de la Chine.
Située dans la ville chinoise de Xi’an, l’université se décrit elle-même comme un établissement axé sur la recherche, spécialisé dans l’ingénierie aéronautique, astronautique et maritime. Cette université est affiliée au ministère chinois de l’industrie et des technologies de l’information.
L’université figure sur la liste des entités du gouvernement américain aux côtés de plusieurs autres établissements d’enseignement chinois, dont l’université du Sichuan et l’université d’aéronautique et d’astronautique de Pékin. Il est interdit aux entreprises américaines d’exporter ou de transférer des produits spécifiques à des entreprises figurant sur la liste, à moins qu’elles n’aient obtenu une licence de leur gouvernement pour le faire.
Selon un rapport de l’agence de presse étatique chinoise Xinhua, CVERC a révélé que parmi les outils de sécurité utilisés par TAO figurait un programme de reniflage que le CVERC a baptisé « Suctionchar ».
Suctionchar, l’un des éléments clés qui a conduit au vol de données, était capable de voler les comptes et les mots de passe utilisés dans les services de gestion à distance et de transfert de fichiers sur les serveurs ciblés, a déclaré le CVERC dans son rapport, qui a été publié en collaboration avec le fournisseur chinois de cybersécurité, Beijing Qi’an Pangu Laboratory Technology.
« Suctionchar peut s’exécuter furtivement sur les serveurs cibles, surveiller en temps réel les entrées des utilisateurs dans le programme terminal de la console du système d’exploitation et intercepter toutes sortes de noms d’utilisateurs et de mots de passe », indique le rapport, qui ajoute que ces informations d’identification peuvent ensuite être utilisées pour pénétrer dans d’autres serveurs et périphériques réseau.
Dans ses attaques contre l’université, TAO a utilisé Suctionchar avec d’autres composants d’un cheval de Troie, Bvp47, que le Pagu Lab a qualifié d’outil de porte dérobée (backdoor) développé par Equation Group, qui serait lié à TAO.
Selon l’éditeur de sécurité chinois, Bvp47 a été déployé dans des attaques visant 45 marchés mondiaux pendant plus de dix ans et a pénétré dans 64 systèmes en Chine.
Les outils d’attaque ne sont pas nouveaux
Un fournisseur de cybersécurité a toutefois fait remarquer que les recherches techniques détaillées dans le rapport semblaient se concentrer sur de vieilles techniques, qui étaient largement connus depuis plusieurs années.
S’adressant à ZDNET sous couvert d’anonymat, un porte-parole du fournisseur de sécurité a déclaré que les experts en cybersécurité occidentaux s’accordaient à dire que les attaques visant l’Université polytechnique du Nord-Ouest semblaient être une opération d’espionnage. Il a noté que l’université chinoise semblait être impliquée dans le développement d’armes modernes, ce qui pourrait en faire une cible attrayante.
Faisant référence au rapport publié par CVERC et Pangu Labs, il a déclaré que les détails semblaient se concentrer sur les outils de piratage utilisés dans les fuites précédentes qui ont été découvertes en 2016, collectivement connues sous le nom de Shadow Brokers. Il a ajouté qu’il n’était toujours pas évident de savoir quelles nouvelles preuves techniques étaient divulguées dans l’annonce de mardi.
Il a déclaré que le cyberespionnage n’était « pas nouveau » et que les États-Unis n’avaient pas nié leur implication dans de telles opérations.
La Chine a dévoilé pour la première fois la violation de données de l’Université polytechnique de Northwestern au début de la semaine dernière, le Bureau d’information du Conseil d’État national condamnant publiquement les cyberattaques.
La porte-parole du ministère chinois des affaires étrangères, Mao Ning, a déclaré que les cyberattaques et le vol de données de la NSA avaient impliqué 13 personnes de l’agence gouvernementale américaine. Elle a révélé que plus de 1 000 attaques ont été lancées contre l’université, au cours desquelles des « données techniques essentielles » ont été volées.
Mme Mao a déclaré : « La sécurité du cyberespace est un problème commun à tous les pays du monde. En tant que pays possédant les technologies et les capacités cybernétiques les plus puissantes, les États-Unis devraient immédiatement cesser d’utiliser leurs prouesses comme un avantage pour mener des vols et des attaques contre d’autres pays, participer de manière responsable à la gouvernance mondiale du cyberespace et jouer un rôle constructif dans la défense de la cybersécurité. »
Elle a ajouté que les États-Unis avaient « depuis longtemps effectué une surveillance audio indiscriminée » contre les utilisateurs chinois, en volant des messages texte et en effectuant un positionnement géolocalisé. Elle a déclaré que les États-Unis représentaient un « grave danger » pour la sécurité nationale de la Chine et la sécurité des données personnelles des citoyens.
Source : « ZDNet.com »
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));