La Chine accuse la NSA d'avoir piraté son université de recherche militaire
pour voler des données

La Chine a accusé la National Security Agency (NSA) des États-Unis d'avoir mené une série de cyberattaques visant l'université polytechnique Northwestern de la ville de Xi'an, axée sur la recherche aéronautique et militaire, en juin 2022. Le Centre national chinois d'intervention d'urgence contre les virus informatiques a révélé ses conclusions la semaine dernière, et a accusé le Bureau des opérations d'accès personnalisé (TAO), une unité de collecte de renseignements sur la guerre informatique de la National Security Agency (NSA), d'avoir orchestré des milliers d'attaques contre les entités situées dans le pays.

Nom : Screenshot_2022-09-14 China Accuses the NSA of Hacking a Top University to Steal Data Sécurité –.png
Affichages : 962
Taille : 327,7 Ko

La Chine affirme que la National Security Agency américaine a utilisé des outils informatiques sophistiqués pour pirater une université de recherche chinoise d'élite. L'attaque aurait visé l'Université polytechnique du Nord-Ouest à Xi'an qui est très bien classée dans l'index mondial des universités pour ses programmes de sciences et d'ingénierie. Le ministère américain de la justice a qualifié l'école « d’université militaire chinoise fortement impliquée dans la recherche militaire et travaillant en étroite collaboration avec l'armée de libération du peuple », ce qui en ferait une cible assez raisonnable pour une infiltration numérique du point de vue des États-Unis.

Le Centre national chinois de réponse d'urgence aux virus informatiques (CVERC), une sorte d'agence de défense numérique équivalente à la CISA américaine, a récemment publié un rapport accusant la NSA d'être à l'origine de l'incident de piratage. Selon le CVERC, l'école a été piratée par des membres du groupe Tailored Access Operations (TAO), une équipe d'élite de hackers de la NSA spécialisée dans les intrusions clandestines. Le TAO, qui a été rendu public pour la première fois en 2013, aide le gouvernement américain à s'introduire dans des réseaux du monde entier à des fins de collecte de renseignements et de données. « Le TAO de la NSA a mené des dizaines de milliers de cyberattaques malveillantes contre des cibles du réseau intérieur chinois, contrôlé des dizaines de milliers de dispositifs de réseau (serveurs de réseau, terminaux Internet, commutateurs de réseau, centraux téléphoniques, routeurs, pare-feu, etc.), et volé plus de 140 Go de données de grande valeur », a déclaré le NCVERC.

L'université travaille en étroite collaboration avec l'armée chinoise dans le domaine de la recherche aéronautique et de la défense. En juin, elle avait signalé avoir été attaquée par des pirates informatiques étrangers qui avaient envoyé des courriels de phishing au personnel et aux étudiants. La Chine accuse de plus en plus ouvertement des individus ou des groupes américains de mener des cyberattaques contre des utilisateurs et des institutions chinoises, dans le cadre de ce que certains analystes ont appelé une campagne d'information visant à contrer les allégations américaines de piratage informatique chinois. En février, une entreprise chinoise de cybersécurité a établi un lien entre la NSA et une opération de piratage dont les cibles se trouvaient dans 45 pays, dont la Chine.

En juin, l'Université polytechnique du Nord-Ouest a déclaré que son personnel et ses étudiants avaient reçu des courriels déguisés en invitations à des événements universitaires ou à des revues scientifiques, mais que ces courriels visaient à voler les identifiants de connexion. Lundi, le Centre national chinois de réponse d'urgence aux virus informatiques a déclaré que l'attaque avait été menée par la NSA. Le centre a indiqué qu'il avait mené une enquête initiale avec la société de sécurité Internet 360 Security Technology Inc. basée à Pékin.

le NCVERC a ajouté que l'attaque contre la Northwestern Polytechnical University a utilisé pas moins de 40 cyber-armes différentes conçues pour siphonner des mots de passe, la configuration d'équipements de réseau, des données de gestion de réseau et des données d'exploitation et de maintenance. L'un de ces outils, baptisé "Suctionchar", aurait aidé à infiltrer le réseau de l'école en volant les informations d'identification des comptes dans les applications de gestion à distance et de transfert de fichiers pour détourner les connexions sur les serveurs ciblés. Le rapport mentionne également l'exploitation de Bvp47, une porte dérobée dans Linux qui a été utilisée lors de précédentes missions de piratage par Equation Group, une autre équipe de pirates d'élite de la NSA.

Selon le CVERC, des traces de Suctionchar ont été trouvées dans de nombreux réseaux chinois autres que celui de Northwestern, et l'agence a accusé la NSA d'avoir lancé plus de 10 000 cyberattaques contre la Chine au cours des dernières années. Le TAO a également utilisé deux exploits de type "zero-day" pour le système d'exploitation SunOS Unix afin de pénétrer dans des serveurs utilisés par des établissements d'enseignement et des entreprises commerciales et d'installer ce qu'il appelle le cheval de Troie OPEN.

Les attaques auraient été montées via un réseau de serveurs proxy hébergés au Japon, en Corée du Sud, en Suède, en Pologne et en Ukraine pour relayer les instructions aux machines compromises, l'agence précisant que la NSA a fait appel à une société d'enregistrement anonyme pour rendre anonymes les informations traçables telles que les noms de domaine, les certificats et les titulaires. Outre le cheval de Troie OPEN, les attaques ont nécessité l'utilisation de logiciels malveillants baptisés "Fury Spray", "Cunning Heretics", "Stoic Surgeon" et "Acid Fox", capables de "contrôler secrètement et durablement" et d'exfiltrer des informations sensibles.

Dimanche, les allégations contre la NSA se sont transformées en plainte diplomatique. Yang Tao, directeur général des affaires américaines au ministère chinois des affaires étrangères, a publié une déclaration confirmant le rapport du CVERC et affirmant que la NSA avait « gravement violé les secrets techniques des institutions chinoises concernées et gravement mis en danger la sécurité des infrastructures critiques, des institutions et des informations personnelles de la Chine, et qu'il fallait y mettre fin immédiatement ».

« Le comportement des États-Unis représente un grave danger pour la sécurité nationale de la Chine et la sécurité des informations personnelles des citoyens. En tant que pays qui possède les technologies et les capacités cybernétiques les plus puissantes, les États-Unis devraient immédiatement cesser d'utiliser leurs prouesses comme un avantage pour mener des vols et des attaques contre d'autres pays, participer de manière responsable à la gouvernance mondiale du cyberespace et jouer un rôle constructif dans la défense de la cybersécurité », a déclaré la semaine dernière la porte-parole Mao Ning.

Ce n'est pas la première fois que la Chine dénonce les États-Unis pour leurs opérations de piratage informatique. En février, Pangu Lab a révélé les détails d'une porte dérobée inconnue jusqu'alors, appelée Bvp47, qui aurait été utilisée par Equation Group pour attaquer plus de 287 entités dans le monde. D'un autre côté, ce n'est pas exactement comme si la Chine avait un passé irréprochable en matière de cyber-espionnage. Depuis 2020, les États-Unis accusent la Chine d'avoir infiltré numériquement les réseaux téléphoniques américains, les gouvernements des États, les entreprises manufacturières, les comptes privés de journalistes américains et Microsoft, entre autres cibles.

Source : CVERC

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

La Chine et les USA tombent d'accord pour lutter contre le piratage informatique « est ce que les mots seront suivis par des actions ? »

Biden : si les USA déclenchent une "véritable guerre armée", cela pourrait être le résultat de cyberattaques, le président US semble exaspéré par les cyberattaques répétées contre son pays

La Chine accuse les États-Unis de "dizaines de milliers" de cyberattaques, ces attaques auraient permis à la NSA de dérober plus de 140 Go de "données sensibles" à la Chine