Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

La Chine, les réseaux sociaux et les attaques ciblées

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur La Chine, les réseaux sociaux et les attaques ciblées

L’enquête Shadows in the Cloud : investigation in cyber-espionnage documente l’usage des plate-formes sociales comme auxilliaires de pirates chinois afin de renforcer leur infrastructure de commande & contrôle. Une nouvelle plongée passionnante au coeur des attaques ciblées contre des cibles politiques.

Vous vous souvenez peut-être de « Tracking GhostNet : investigating a cyber-espionnage network », une enquête menée sur dix mois en 2009 par un groupe hétéroclite de chercheurs et d’experts. Elle s’était focalisée sur les attaques ciblées dont se disait alors victime la communauté Tibétaine, et notamment sur l’implication supposée de pirates basés en Chine. Si elle n’était pas parvenue à prouver l’implication du gouvernement Chinois dans ces attaques, cette première enquête avait déjà permis d’étudier de près un botnet complexe et de documenter la pratique des attaques ciblées.

« Shadows in the Clouds : investigating cyber-espionnage 2.0 » est en quelque sorte la suite de ce feuilleton passionnant. Cette nouvelle enquête reprend certes des pistes laissées ouvertes dans GhostNet, mais tente surtout de mettre à jour les techniques et l’organisation derrière ces attaques. Et c’est d’ailleurs de ce dernier point que vient le terme « 2.0 » dans le titre.

D’abord parce que sur le plan technique les pirates utilisent désormais abondamment les outils 2.0 (réseaux sociaux, blogs, Google Groups) comme « maillage » afin de renforcer leur système de commande & contrôle. Les ordinateurs compromis peuvent en effet ainsi toujours recevoir leurs instructions en consultant un compte Twitter, un blog public ou des discussions sur un groupe Google, et cela même si le canal de contrôle direct est bloqué.

Dans l’un des exemples cités, le malware utilisait l’API de Yahoo! Mail afin de créer automatiquement un compte et l’utiliser comme boîte de communication avec le pirate. Ce dernier pouvait alors tout simplement envoyer un email à ce compte avec les commandes à exécuter. Et s’il y ajoutait un programme en pièce jointe (par exemple une mise à jour du bot), celui-ci la récupérait dans le courrier, l’exécutait et déposait un email de confirmation dans la boîte.

Bien qu’un webmail ne soit pas à proprement parler un outil 2.0, l’utilisation d’API publiques afin d’utiliser ses services est définitivement une tendance notable.

Mais le terme 2.0 est également approprié ici car l’enquête observe une nouvelle mutation de la scène pirate. Après la transition des pirates amateurs vers le crime organisé, ce serait désormais vers l’espionnage à caractère politique que vont les hackers. D’après les auteurs de l’étude, ce n’est pas tant que le web soit utilisé comme terrain de bataille idéologique qui est nouveau, mais plutôt l’utilisation, par des groupes organisés de pirates et pour de l’espionnage politique, de frameworks d’exploitation qui étaient jusqu’à présent l’apanage d’attaques à but seulement lucratif.

L’étude a mis à jour une compromission systématique du gouvernement indien, à tous les niveaux (défense, recherche, gouvernement…). Quant à l’implication éventuelle du gouvernement Chinois, les auteurs optent pour une approche mesurée : oui, techniquement, toutes ces attaques sont étroitement liées à la Chine et au milieu hacker chinois. Pour autant, les liens entre les pirates chinois et le gouvernement pourraient n’être qu’occasionnels. Les hackers, tous patriotes qu’ils soient, ne seraient ainsi pas nécessairement directement contrôlés par le gouvernement.

Que des informations glanées durant ces attaques aient atterries chez des officiels chinois, c’est certain. Mais l’étude précise que les pirates chinois ont probablement tout autant, sinon plus, de liens avec le milieu de crime organisé. Et de décrire le gouvernement de la Chine comme une entité très fragmentée, loin d’être monolithique, dont une branche peut parfaitement s’appuyer sur un noyau de pirates sympathisants sans que les bénéfices de leurs attaques ne soient partagés avec le reste du gouvernement.

« Tous ce que nous pouvons prouver c’est que le réseau Shadows est basé en Chine et exploité par des individus ayant des liens forts avec le milieu du crime organisé chinois. Considérant les relations ambiguës qui peuvent exister en Chine entre le crime organisé et certaines officines de l’Etat, il n’est pas exclu que des informations collectées par le biais du réseau Shadows soient communiquées à certaines branches du gouvernement Chinois », résument à merveille les auteurs du rapport.

Lire le rapport :

La version PDF sur le site Scribd (en anglais)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.