Les États-Unis ont piraté des réseaux de télécommunications chinois sensibles

L'Agence de sécurité nationale des États-Unis (NSA, pour National Security Agency) a eu accès aux réseaux de télécommunications chinois et a enquêté sur plusieurs personnes ayant des antécédents sensibles, ce qui a entraîné la fuite de certaines de leurs informations, selon un rapport d'enquête portant sur une cyberattaque contre une éminente université de recherche publique chinoise.

L'Université polytechnique du Nord-Ouest, située à Xi'an, dans la province du Shaanxi (centre), est connue pour ses programmes d'enseignement et de recherche en aéronautique, en astronautique et en ingénierie des technologies marines. Elle a annoncé le 22 juin que des pirates informatiques étrangers avaient été surpris en train d'envoyer des e-mails de phishing contenant des chevaux de Troie à des enseignants et des étudiants de l'université, dans le but de voler leurs données et leurs informations personnelles.

Le rapport, publié le mardi 27 juin, indique qu'en retraçant les caractéristiques techniques, les armes d'attaque et les voies utilisées lors de la cyberattaque de la NSA contre l’Université polytechnique du Nord-Ouest, les analystes ont découvert que le Bureau des Opérations d'accès sur mesure (TAO, Tailored Access Operations) de la NSA avait infiltré les réseaux d'au moins deux opérateurs de télécommunications en Chine et avait construit un canal « légitime » pour avoir accès à distance aux données de base.

Le TAO a ensuite enquêté sur plusieurs personnes ayant des antécédents sensibles. Certaines de leurs informations ont été renvoyées au siège de la NSA via plusieurs serveurs de rebond, selon le rapport publié par le Centre national chinois des urgences contre les virus informatiques et la société de sécurité Internet 360.

Avec le soutien de partenaires dans des pays d'Europe et d'Asie du Sud-Est, les analystes ont découvert que le TAO avait également infiltré les réseaux de télécommunications d'au moins 80 pays en utilisant les mêmes armes de cyberattaque.

Le rapport détaille le processus d'infiltration du TAO dans le réseau interne de l'université. Tout d'abord, il a utilisé « FoxAcid », une plateforme d'attaque intermédiaire, pour pirater l'ordinateur hôte et les serveurs internes de l'université, puis a pris le contrôle de plusieurs serveurs clés avec des armes télécommandées. Il a pris le contrôle de certains équipements de nœud de réseau importants, dont des routeurs et commutateurs internes de l'université, et a volé des données d'authentification.

Se cachant dans les serveurs d'exploitation et de maintenance de l'université, le TAO a volé plusieurs fichiers de configuration d'équipements réseau qu'il a utilisés pour surveiller « de manière valide » les équipements réseau et les internautes, selon le rapport.

Sur les 41 types d'outils utilisés dans cette attaque particulière, 16 sont identiques aux armes du TAO qui ont été exposées par le groupe de hackers « Shadow Brokers », et 23 ont une similitude structurelle de 97% avec celles déployées par le TAO. En outre, les deux types restants doivent être utilisés conjointement avec d'autres armes de cyberattaque du TAO, indique le rapport.

Les identités de 13 hackers qui ont mené l'attaque ont été découvertes. Leurs horaires de travail, la langue utilisée et leurs habitudes comportementales ont également révélé leurs liens avec le TAO, affirme le rapport.