Pékin est à nouveau soupçonné d'espionnage informatique. D'après la société de sécurité informatique Mandiant, qui conseille notamment le gouvernement américain, les hackers chinois seraient parmi les plus agressifs au monde. Mandiant affirme que, depuis 2006, une unité secrète de l'armée chinoise est responsable de multiples opérations de piratage informatique, ciblant notamment les Etats-Unis. La publication du rapport du National Intelligence Estimate (NIE) avait déjà souligné des intrusions sur le réseau américain.
Le rapport se concentre sur un groupe, qu'il décrit comme particulièrement «prolifique» en matière de cyberattaques. D'après les observations de Mandiant, ce groupe, nommé «APT1» («Advanced Persistent Threat»), serait à l'origine du vol «de centaines de téraoctets de données auprès d'au moins 141 sociétés couvrant 20 secteurs industriels majeurs». «APT1» cible notamment des infrastructures importantes, comme les activités énergétiques américaines. Des informations sensibles sur des opérations de fusion et d'acquisition mais aussi des courriels des sociétés visées auraient été piratées.
«Un soutien direct du gouvernement» chinois
Mandiant souligne que le groupe «est capable de mener à bien une campagne d'espionnage aussi extensive sur Internet parce qu'il reçoit un soutien direct du gouvernement». Basée à Shanghaï, l'organisation, appelée unité 61389, serait une filiale de l'Armée populaire de libération. Mandiant a aussi repéré l'immeuble duquel les attaques sont lancées. Dans le quartier de Pudong, le bâtiment abriterait une unité secrète composée de milliers de membres experts en anglais et en systèmes informatiques.
87% des sociétés ciblées ont leur siège social dans des pays où l'anglais est la langue maternelle. Elles ont des activités dans des secteurs que la Chine a identifié comme stratégique. APT1 utilise des outils spécifiques, notamment deux d'entre eux pour voler des emails, Getmail et Mapiget. Une fois entrée, le groupe peut opérer sur l'ordinateur de la victime pendant plusieurs mois, voire des années et subtiliser des informations sensibles, de la propriété intellectuelle, des business plan, des accords stratégiques, etc.
Lorsque le New York Times vient frapper à la porte de Mandiant pour lui demander de l'aide après l'attaque informatique subie fin janvier, cela fait déjà plusieurs années que la firme s'intéresse à un groupe de pirates informatiques, surnommé APT1 pour "menace persistante avancée 1" (l'enquête conclura qu'un autre groupe est responsable de cette attaque).
Sur la période 2006-2013, Mandiant a réussi à observer 1 905 intrusions sur des ordinateurs opérées par le groupe APT1. Dans 97% des cas, le clavier de l'outil utilisé, Microsoft Remote Control, était configuré en chinois simplifié, les caractères utilisés en République populaire depuis les années 1950 (Taïwan et Hong Kong utilisent toujours les caractères traditionnels).
Les serveurs, noms de domaine et adresses IP utilisés par le groupe sont également enregistrés en Chine. Certains renvoient même directement au quartier de Shanghai où se trouve l'immeuble de l'unité. Enfin, certaines imprudences des pirates ont achevé de convaincre Mandiant de leur identité. L'un d'eux s'est connecté à un service de Google en utilisant un numéro de téléphone de Shanghai, comme dans la vidéo ci-dessous. Un autre a enregistré un nom de domaine en renseignant la cité chinoise dans les informations requises.
Comment l'unité pratique l'art du hameçonnage
Le mode opératoire identifié par Mandiant est fondé sur l'une des techniques les plus répandues : le phishing, ou hameçonnage. Vous avez sans doute déjà reçu un mail de ce type : un expéditeur se présentant comme EDF ou la CAF vous envoie un message parfois mal orthographié vous demandant de cliquer sur un lien, d'ouvrir une pièce jointe ou de lui donner des renseignements personnels. Une astuce qui permet, au choix, de voler vos identifiants bancaires ou d'installer un logiciel malveillant sur votre ordinateur.
Les pirates de l'unité 61398 utilisent la même technique, de manière bien plus vicieuse et perfectionnée. Le mail est généralement envoyé depuis une adresse e-mail qui semble appartenir à l'un de vos collègues ou patrons (à ceci près qu'elle finit en @rocketmail.com, un service de messagerie gratuite, plutôt qu'en @francetv.fr). Il demande de cliquer sur un lien ou d'ouvrir une pièce jointe.
Si le destinataire se méfie et demande si le document joint est "réglo", il se verra répondre, comme dans un exemple cité par Mandiant, "C'est réglo !" dans les vingt minutes. Une fois la victime piégée, le tour est joué : le pirate a mis un pied dans la porte et va pouvoir installer une "backdoor", un logiciel permettant d'accéder à distance au contenu de l'ordinateur infecté et d'y récupérer des données.
Ses membres : un gorille moche ou un fan d'Harry Potter
Compétences informatiques poussées et maîtrise de l'anglais sont les deux qualités requises pour travailler dans cette unité, selon les CV et descriptions de postes consultés par Mandiant. Ses membres sont diplômés d'universités spécialisées comme l'Institut technologique d'Harbin (nord de la Chine) et l'université informatique du Zhejiang (près de Shanghai).
La firme américaine a réussi à identifier trois personnes. UglyGorilla ("Gorille moche"), alias Wang Dong, a enregistré le premier nom de domaine attribué à l'unité 61398 en 2004 et développé le premier virus de la famille des MANITSME. SuperHard, alias Mei Qiang, ferait de la recherche et développement en virus informatiques pour l'unité. Enfin, DOTA, dont le vrai nom est inconnu, est celui qui a imprudemment enregistré un numéro de téléphone de Shanghai. Il serait également un grand fan d'Harry Potter, un nom qu'il utilise souvent pour ses mots de passe.
«La nature du travail de l'unité 61398 est considérée par la Chine comme un secret d'Etat. Nous pensons toutefois qu'elle mène des opérations de réseaux informatiques nocives», écrit la société de sécurité américaine, selon laquelle «il est temps de reconnaître que la menace vient de Chine». Le ministère de la Défense chinois, qui n'a pas répondu aux questions de Mandiant, nie sa responsabilité dans ces attaques numériques.
La Maison-Blanche a déclaré qu'elle était «consciente» du rapport Mandiant rapporte le New York Times . Tommy Vietor, le porte-parole du Conseil de sécurité nationale, a déclaré: «Nous (le conseil) avons à plusieurs reprises fait part de nos préoccupations au plus haut niveau sur le cybervol avec des hauts fonctionnaires chinois, y compris dans l'armée, et nous continuerons de le faire.»
La semaine dernière, Barack Obama a signé un décret sur la cybersécurité américaine, afin d'encourager les entreprises à partager les données de leurs infrastructures informatiques et à alerter les autorités en cas d'attaque
Enfin, le quotidien rapporte qu'à la grande inquiétude des autorités américaines, l'unité 61398 s'intéresse de plus en plus aux entreprises qui gèrent les infrastructures, comme les réseaux d'énergie. Ainsi, les pirates ont tenté d'infiltrer Telvent Canada, qui conçoit les logiciels de contrôle utilisés sur 60% des oléoducs et gazoducs nord-américains.
Le ministère chinois des Affaires Etrangères a déclaré que la nation était fermement opposée au piratage et qu'elle soutenait une réglementation pour empêcher les cyberattaques. Le gouvernement de Pékin a rejeté les accusations selon lesquelles des hackers chinois auraient piraté plusieurs journaux américains. Le porte-parole du ministère, Hong Lei, a indiqué que son pays était aussi victime de menaces dont leur origine était principalement les Etats-Unis. Il tempère également les propos de Mandiant, « les cyberattaques sont par nature transnationales et anonymes. Il est très difficile de retracer leur origine. Je ne vois pas donc pas de preuves pertinentes et défendables dans ce rapport ».
Berlin s'inquiète d'une recrudescence des cyberattaques chinoises visant des entreprises allemandes : au moins deux grands groupes implantés outre-Rhin, EADS et le sidérurgiste ThyssenKrupp ont subi des attaques majeures en 2012, révèle l'hebdomadaire allemand Der Spiegel dimanche 24 février.
Un porte-parole d'EADS a indiqué à Reuters que ces piratages informatiques étaient des "attaques standard" et que le groupe coopérait étroitement avec les autorités sur le dossier de la cybersécurité. ThyssenKrupp a également confirmé avoir subi une attaque en précisant qu'elle avait été réalisée aux Etats-Unis à partir d'une adresse internet chinoise. Le sidérurgiste ignore quelles données les hackers ont pu éventuellement pirater.
Des méthodes de piratage déployées à grande échelle
Ce type d'attaques n'est pas nouveau mais prend des proportions importantes : selon Der Spiegel, l'Office fédéral allemand pour la protection de la Constitution a recensé près de 1 100 cyberattaques de services secrets étrangers en 2012, visant pour la plupart des responsables politiques impliqués dans les secteurs de l'énergie ou de la finance.
Les pirates chinois tendent à viser les grandes entreprises et celles ayant des technologies innovantes. Leur méthode consiste le plus souvent à envoyer des faux courriels qui semblent provenir de collègues et dont les pièces attachées, lorsqu'elles sont ouvertes, libèrent des virus et logiciels espions qui contaminent les systèmes informatiques de l'entreprise.
Căng thẳng Mỹ - Trung về gián điệp mạng
Trung Quốc bác bỏ cáo buộc rằng một đơn vị đặc nhiệm nước này gây ra chiến dịch tấn công mạng cấp tập nhằm vào các hệ thống của Mỹ.
Đài CBS dẫn báo cáo dài 60 trang của Hãng an ninh công nghệ Mandiant, trụ sở tại bang Virginia (Mỹ), khẳng định “các cuộc nghiên cứu và theo dõi cho thấy quân đội Trung Quốc (PLA) thực hiện truy xuất dữ liệu một cách có hệ thống qua internet nhằm vào các tổ chức trên toàn cầu”. Báo cáo còn cho rằng PLA đang kiểm soát lực lượng tin tặc “vào hàng hiệu quả nhất thế giới” và chính quyền trung ương “nắm rõ mọi hoạt động của nhóm này”.
Bí mật tại Thượng Hải
Theo báo cáo, các chuyên gia của Mandiant lần theo dấu vết của hàng ngàn cuộc tấn công mà mục tiêu là các công ty và tổ chức của Mỹ, từ giới truyền thông cho đến cơ quan nhà nước, bắt đầu vào năm 2006 và tăng mạnh vào đầu năm nay.
Các chuyên gia của hãng phát hiện hầu hết các cuộc tấn công đều xuất phát từ một nhóm tin tặc duy nhất, được đặt biệt danh là “Mối đe dọa thường trực cấp cao”, hay APT1. “Sau khi chạm mặt APT1 lần này qua lần khác, chúng tôi bắt đầu theo dõi kỹ và lọc ra được các mô hình tấn công”, tờ The New York Times dẫn lời Chủ tịch hãng bảo mật là ông Kevin Mandia cho hay. Theo ông, trong gần 99% trường hợp, tin tặc đều sử dụng địa chỉ IP ở Thượng Hải để xâm nhập mạng nội bộ của các tổ chức Mỹ. Từ đó, các chuyên gia của Mandiant tìm ra điểm xuất phát một loạt vụ tấn công mạng đình đám nhằm vào các tờ báo lớn, cơ quan chính phủ và công ty Mỹ. Đó là một tòa nhà 12 tầng nằm trên đường Đại Đồng, ngoại ô Thượng Hải với sân thượng gắn đầy đĩa vệ tinh. Nơi đây được cho là trụ sở của đơn vị 61398 thuộc PLA. “Chúng tôi phát hiện đơn vị 61398 có nhiều điểm tương đồng với APT1, từ khả năng đến nguồn lực. Đơn vị 61398 cũng nằm cùng một địa chỉ xuất phát các cuộc tấn công của APT1”, ông Mandia nói.
AFP dẫn báo cáo của Công ty Mandiant cho rằng đơn vị này đã đánh cắp dữ liệu từ ít nhất 141 tổ chức ở Mỹ, Anh và Canada từ năm 2006. Theo báo cáo, các quân nhân thuộc đơn vị 61398 “rành rẽ tiếng Anh và có khả năng khai thác các hệ thống, biết rõ về kỹ thuật an ninh máy tính”.
Cáo buộc lẫn nhau
Báo cáo của Hãng Mandiant được công bố sau hàng loạt vụ tấn công bị nghi là do tin tặc Trung Quốc thực hiện nhằm vào các tờ báo lớn của Mỹ là The New York Times, The Washington Post và The Wall Street Journal cũng như mạng xã hội Twitter. Mandiant đã được Ban quản trị của The New York Times thuê giải quyết hậu quả đợt tấn công và nâng cao khả năng phòng vệ của hệ thống. Chính phủ Mỹ cũng phản ứng nhanh chóng sau báo cáo nói trên. The Wall Street Journal dẫn lời phát ngôn viên Nhà Trắng Jay Carney hôm qua cho hay Mỹ đã nâng phản đối “lên mức cao nhất” đối với Trung Quốc về vấn đề tình báo mạng. Cùng ngày, phát ngôn viên Bộ Ngoại giao Victoria Nuland khẳng định Mỹ đã liên tục nêu lên quan ngại về tin tặc với Trung Quốc.
Đáp lại, Trung Quốc cũng phản ứng rất mạnh mẽ và tiếp tục bác bỏ mọi cáo buộc. Ngày 20.2, phát ngôn viên Bộ Quốc phòng Trung Quốc Cảnh Nhạn Sinh khẳng định PLA chưa bao giờ hậu thuẫn các vụ tấn công tin tặc. Website chính thức Mod.gov.cn đăng tuyên bố của ông Cảnh chỉ trích báo cáo của Mandiant Corp là vô căn cứ “do chỉ dựa trên kết nối IP để kết luận rằng các vụ tấn công mạng bắt nguồn từ Trung Quốc”.
Theo ông Cảnh, tấn công mạng có tính chất xuyên quốc gia, nặc danh nên nguồn gốc tin tặc rất khó xác định. Chưa hết, AP dẫn lời phát ngôn viên Bộ Ngoại giao Trung Quốc Hồng Lỗi tuyên bố Trung Quốc rất mạnh tay với tội phạm mạng và “cáo buộc vô căn cứ” của Mandiant chứng tỏ sự vô trách nhiệm và thiếu chuyên nghiệp. Ông Hồng nói thêm rằng nước mình cũng phải dối mặt với mối nguy lớn từ tin tặc và đa số các cuộc tấn công nhằm vào Trung Quốc đều có địa chỉ IP xuất phát từ Mỹ
From: le monde informatique , figaro,thanh nien,Francetv info ,.....
..