Technologie : La société de cybersécurité Crowdstrike accuse Pékin d'avoir organisé une vaste campagne de piratage visant des industriels de l'aéronautique occidentaux, dont Safran, dans le but de concevoir des avions 100 % chinois. Décryptage.

Les pratiques de la Chine en terme d'espionnage industriel sont à nouveau épinglées. Un rapport met en lumière l'une des opérations de piratage informatique les plus ambitieuses que la Chine ait réalisé à ce jour. Celle-ci a impliqué des agents du ministère de la Sécurité d'État, des pirates informatiques chinois, et des chercheurs dans le domaine de la cybersécurité.

L'objectif de cette opération de piratage était d'acquérir de la propriété intellectuelle pour réduire l'écart technologique de la Chine dans l'industrie aéronautique. Avec un objectif précis : aider Comac, un constructeur aéronautique public chinois, à construire son propre avion de ligne, le C919, pour concurrencer Airbus et Boeing.





Un rapport de Crowdstrike publié en début de semaine démontre comment cette campagne de piratage informatique coordonnée sur plusieurs années s'est systématiquement attaquée aux entreprises étrangères qui ont fourni les composants de l'avion C919.





publicité

Voler de la propriété intellectuelle



L'objectif final était de voler de la propriété intellectuelle nécessaire pour fabriquer tous les composants du C919 en Chine, comme l'a affirmé Crowdstrike, qui met en avant que le ministère de la Sécurité d'État (MSS) a chargé le Jiangsu Bureau (MSS JSSD) de mener ces attaques.

Le Bureau du Jiangsu, à son tour, a chargé deux officiers principaux de coordonner ces efforts. L'un était responsable de l'équipe de pirates informatiques, tandis que l'autre était chargé de recruter des professionnels travaillant dans des entreprises aéronautiques et aérospatiales. L'équipe de pirates a ciblé les entreprises entre 2010 et 2015, et a réussi à pirater des fournisseurs de C919 comme Ametek, Honeywell, Safran, Capstone Turbine, GE, et d'autres.

Des hackers officieux mais soutenus par Pékin



Au contraire d'autres opérations menées précédemment par Pékin, au cours desquels les hackers provenaient des unités militaires officielles du régime, le ministère chinois de la Sécurité d'État a cette fois eu recours à des hackers locaux ainsi qu'à des chercheurs de sécurité pour mener à bien ses projets.

Les personnes responsables des intrusions étaient des pirates informatiques que le ministère chinois de la Sécurité d'Etat a recruté en Chine. La société de cybersécurité américaine Crowdstrike ainsi que le ministère américain de la Justice affirment même que certains membres de l'équipe avaient des antécédents douteux remontant jusqu'en 2004.

Ces pirates ont été chargés de trouver un moyen de pénétrer les réseaux cibles, où ils déploient habituellement des logiciels malveillants tels que Sakula, PlugX et Winnti, qu'ils utilisent pour rechercher des informations propriétaires et les exfiltrer sur des serveurs distants. Dans la grande majorité des cas, ils ont eu recours à un logiciel malveillant personnalisé qui a été spécialement développé pour ces intrusions.





Le bon vieux coup des clés USB



Sakula est un malware développé par un chercheur en sécurité nommé Yu Pingan. Dans les rares occasions où l'équipe de pirates n'arrivait pas à trouver un moyen de pénétrer à l'intérieur d'une cible, un deuxième agent du ministère de la Sécurité d'Etat intervenait et recrutait un ressortissant chinois travaillant pour la société cible, et l'utilisait pour placer Sakula sur le réseau de la victime, généralement via des clés USB.

Le groupe de pirates, connu sous le nom de Turbine Panda, a vu ses manoeuvres couronnées de succès. Crowdstrike souligne qu'en 2016, après presque six ans de piratage continu de compagnies aéronautiques étrangères, l'Aero Engine Corporation of China (AECC) a lancé le moteur CJ-1000AX, qui devait être utilisé dans le prochain avion C919, et remplacer un moteur qui avait été fabriqué précédemment par une entreprise étrangère.

Le CJ-1000AX présente de multiples similitudes avec les moteurs LEAP-1C et LEAP-X produits par CFM International, une coentreprise entre GE Aviation basée aux États-Unis et la société aéronautique française Safran, l'entreprise qui a fourni les turbines du C919.





La riposte s'organise



Si les tentatives des pirates ont réussi, elles ne sont pas toutes passées inaperçues. Les pirates ont en effet commis une erreur lorsqu'ils se sont attaqués à des cibles un peu trop importantes pour eux, comme le fournisseur de soins de santé Anthem et le US Office of Personnel Management.

Ces intrusions ont fourni beaucoup d'informations sur le recrutement des personnels en interne des entreprises visées, mais elles ont également attiré l'attention du gouvernement américain sur leur opération. Il n'a pas fallu longtemps après cela pour que les Etats-Unis commencent à reconstituer le puzzle.

Les premiers à subir les foudres de Washington ont été les pirates eux-mêmes puisqu'ils étaient les plus faciles à retrouver et qu'ils n'avaient aucune protection du gouvernement chinois, étant donné qu'ils opéraient sur le sol étranger. Yu, le créateur du malware Sakula, a été arrêté alors qu'il assistait à une conférence sur la sécurité à Los Angeles.





Un gros poisson dans la nasse



L'arrestation de Yu a eu des conséquences. Le gouvernement chinois a réagi en interdisant aux chercheurs chinois de participer à des conférences sur la sécurité informatique à l'étranger, craignant que les autorités américaines ne mettent la main sur d'autres "actifs".

L'arrestation fin 2018 de Xu Yanjun, un des officiers de renseignement chinois en charge de l'opération, souligne le plus important transfert de renseignements depuis la guerre froide, à part la fuite de Snowden en Russie. Les responsables américains espèrent que Xu Yanjun collaborera pour obtenir une réduction de peine.

Cependant, Crowdstrike souligne que "la réalité est que bon nombre des autres cyber-opérateurs qui ont participé aux opérations de Turbine Panda ne verront probablement jamais une cellule de prison". Entre-temps, Turbine Panda semble avoir stoppé la plupart de ses opérations, probablement paralysé en raison des arrestations. Mais d'autres groupes de cyberespionnage chinois ont pris le relais, comme Emissary Panda, Nightshade Panda, Sneaky Panda, Gothic Panda, Anchor Panda, et d'autres.



Les attaques contre les compagnies aéronautiques étrangères devraient se poursuivre, principalement parce que le C919 de Comac ne rencontre toujours pas le succès attendu par Pékin et que le développement d'un modèle d'avion de ligne entièrement conçu par la Chine fait encore aujourd'hui figure de chimère.

Article "Building China's Comac C919 airplane involved a lot of hacking, report says" traduit et adapté par ZDNet.fr

