Une boîte e-mail appartenant à l’ambassadeur américain en Chine, Nicholas Burns, a été piratée dans le cadre d’une opération d’espionnage attribuée à un groupe chinois, a révélé jeudi 20 juillet le Wall Street Journal. Le quotidien américain ajoute qu’un membre du département d’Etat a également été affecté par cette campagne d’espionnage. A ces noms s’ajoutent celui de Gina Raimondo, secrétaire au commerce, dont les courriels ont également été piratés par le même acteur chinois.
Le flou demeure sur l’étendue réelle d’une campagne révélée le 11 juillet par Microsoft. Dans un premier communiqué, l’entreprise américaine avait annoncé avoir découvert des attaques menées par un groupe chinois non identifié, baptisé Storm-0558. Selon Microsoft, le groupe est parvenu depuis le 15 mai à pirater un nombre non divulgué de boîtes e-mails, ciblant principalement des agences gouvernementales, notamment en Europe.
Des techniques sophistiquées
La méthode d’intrusion est sophistiquée. Les pirates n’ont pas volé de mots de passe, mais se sont servis de « tokens d’authentification », c’est-à-dire de laissez-passer qui certifient à un serveur qu’en qualité de propriétaire d’une messagerie, un utilisateur est en droit d’y accéder. Selon le dernier rapport de l’entreprise, les pirates sont parvenus à mettre la main sur une clé de Microsoft et à s’en servir pour générer ces laissez-passer, accédant ainsi à plusieurs messageries frauduleusement. On ignore cependant pour le moment comment Storm-0558 est parvenu à dérober cette clé.
On en sait également peu sur le fameux groupe à ce jour. Si le surnom « Storm » est attribué par Microsoft aux acteurs dont l’analyse et la classification sont toujours en cours (les groupes étatiques chinois sont baptisés « Typhoon »), la société a précisé dès le départ que le groupe en question agissait depuis la Chine et orchestrait principalement des campagnes d’espionnage. Un des éléments utilisés par l’entreprise pour établir la localisation des pirates est classique : concentrées sur les journées du lundi au vendredi, les tranches horaires d’activités coïncident avec les semaines de travail en Chine.
Microsoft précise, par ailleurs, que le même acteur a été identifié derrière de précédentes campagnes d’espionnage, dont certaines visaient depuis août 2021 au moins des personnes reliées aux thématiques de Taïwan et des Ouïgours. Les experts de l’entreprise ont, en outre, trouvé des similitudes – très réduites – des méthodes d’action du groupe avec celle d’APT 31, un autre acteur localisé en Chine.