Des chercheurs en sécurité de l’entreprise Cybereason ont découvert qu’un groupe de hackers, probablement d’origine chinoise, avait accès depuis au moins 2017 aux métadonnées d’une dizaine d’opérateurs mobiles répartis en Asie, Afrique, Europe et Moyen-Orient. Ce n’est pas la première fois que la Chine est suspectée de piratage. Récemment, l’Australie avait été victime d’un piratage, et estime que cette attaque ne peut venir que d’un seul pays capable d’un tel acte : la Chine.
Lior Div, cofondateur et directeur général de Cybereason a indiqué à TechCrunch qu’il s’agissait d’un espionnage à « grande échelle » renommée « Soft Cell » par l’entreprise. Il faut savoir que la base de données CDR (Customer Detail Records) regroupe toutes les données de connexion des utilisateurs, soit : qui est-ce qu’ils appellent, quand, où, avec quel terminal…
Des méthodes de piratage très performantes connues
Les chercheurs ont découvert l’existence de cette opération il y a environ un an, en analysant des instructions réalisées sur l’un des opérateurs. À plusieurs reprises, elle a détecté la présence des hackers dans ses réseaux et a mis en place des contre-mesures. Cependant, la persévérance de ces derniers a eu raison de Cybereason, qui n’a pas réussi à les arrêter. Finalement, les pirates ont réussi à mettre la main sur la base de données CDR, qui stocke les métadonnées d’appels. Selon Lior Div : « ils savent tout sur les victimes, sans jamais avoir piraté leur téléphone ».
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Pour parvenir à leurs fins, les hackers ont infiltré le réseau à l’aide d’outils très performant et efficace, à l’image du « China Chopper », du logiciel espion « PoisonIvy », ou encore du scanner de serveur « Nbtscan ». Des outils qui sont assimilés à l’arsenal habituel d’APT10, un groupe de hackers qui est suspecté d’être dirigé par le gouvernement chinois.
Un plan réalisé méticuleusement
Amit Serper, responsable de la recherche sur la sécurité chez Cybereason a indiqué qu’« on peut voir tout de suite ce qu’ils veulent vraiment. Ils exploitent une machine accessible publiquement via Internet, suppriment les informations d’identification de cette machine, utilisent les informations d’identification volées de la première machine et répètent le processus dans son intégralité plusieurs fois ». Une fois qu’ils ont accès au contrôleur, ils ont le contrôle sur l’ensemble du réseau : « tout leur appartient entièrement ».
Chaque fois que les pirates informatiques s’introduisaient dans la base de données CDR, ils effectuaient davantage de reconnaissance et de cartographie « pour mieux comprendre le réseau » indique Mor Levi, l’un des chercheurs de Cybereason qui a découvert et analysé l’opération de piratage. Les pirates ont réussi à créer une connexion de réseau privé virtuel sur l’un des serveurs, ce qui leur a permis de pouvoir se connecter sans avoir à « réinventer la roue à chaque fois ».
Des tensions qui ne vont pas en s’arrangeant
Les tensions entre les États-Unis et la Chine ne vont pas en s’arrangeant, et surtout après le différend impliquant Huawei. En effet, l’entreprise chinoise a été accusée d’espionnage par les États-Unis et dans d’autres pays. À présent, les plus grandes firmes à l’image de Google et de Facebook refusent toutes deux d’avoir un quelconque lien avec la société.
Le gouvernement chinois a toujours nié ces accusations de piratage, mais aux vues des logiciels utilisés, un doute persiste. À suivre.
