Image : Shutterstock

À la rencontre du groupe qui doxxe les hackers du gouvernement chinois

Depuis le mois d'avril dernier, un groupe baptisé « Intrusion Truth » lutte contre le cyber-espionnage chinois en révélant le nom de ses responsables.

|
19 Octobre 2018, 7:30am

Image : Shutterstock

Une file de bâtiments étranges se dresse au-dessus d'un jardin de Tianjin, une grande ville du Nord-Est de la Chine. Grisâtres et tout en angles, ils avalent et recrachent d'innombrables humains. Reçus Uber et autres informations à l'appui, le mystérieux blog Intrusion Truth affirme qu'au moins un de ces individus travaille pour APT10, une unité de piratage chinoise connue pour avoir ciblé des entreprises industrielles, d’aérospatiale et d’ingénierie afin de leur dérober des secrets commerciaux.

Depuis la fin du mois de juillet dernier, Intrusion Truth dévoile le nom d'individus qu'il présume membre d'APT10. Dans le monde du cyber-espionnage, c'est une démarche courageuse. En général, les opérateurs restent anonymes et les entreprises de cybersécurité se gardent de publier le nom de victimes de piratage dans leurs rapports. Contactés par Motherboard, plusieurs individus familiers des opérations d'APT10 ont confirmé que les révélations d’Intrusion Truth recoupaient des informations provenant d'autres sources. Motherboard a garanti l’anonymat à plusieurs de ces intervenants pour les besoins de cet article.

L’approche controversée d’Intrusion Truth pose plusieurs questions éthiques : doit-on dénoncer les hackers à la solde d'un gouvernement ? Ces démarches peuvent-elles relever de la dissuasion, ou au moins de la riposte contre le cyber-espionnage étatique ?

« Nous sommes prêts à travailler avec des entreprises, des analystes privés, des hackers, les autorités — quiconque peut nous fournir les renseignements dont nous avons besoin » affirme un représentant d’Intrusion Truth, joint par mail.

**

La Chine dérobe les secrets industriels d’autres pays grâce au piratage depuis des années.Entre autres trésors, elle a dérobé des schémas d’avions de combat et des informations sur l’énergie solaire. Ses attaques quasi-constantes ont poussé Barack Obama à conclure un accord avec Xi Jinping, le président chinois : en 2015, les deux pays se sont entendus pour mettre fin au vol numérique de propriété intellectuelle. Les chercheurs en cybersécurité avaient constaté un recul considérable du cyber-espionnage chinois suite à cet accord. Cette année, cependant, les hackers chinois ont subtilisé des données sensibles à un sous-traitant de la Navy et multiplié les effractions numériques sur fond de guerre commerciale avec l'Amérique de Trump.

C'est ce genre d’espionnage industriel de grande ampleur qui motive particulièrement Intrusion Truth.

« Le vol de propriété intellectuelle est un affrontement global qui oppose l’Occident et ses adversaires sur le terrain numérique, principalement la Chine. Ce genre de vol porte atteinte à des travailleurs acharnés et leurs entreprises, mais aussi à des économies entières. Il fait disparaître des revenus et apparaître une concurrence complètement injuste » affirme Intrusion Truth à Motherboard.

« Jusqu’à récemment, la Chine gagnait. Elle agissait en toute impunité. Elle démarchait et rémunérait des hackers commerciaux qu'elle traitait comme des criminels une fois leur mission accomplie. En utilisant des mercenaires de ce genre, la Chine cherche délibérément à contourner son engagement à cesser ses activités illégales » ajoute le groupe.

1534856317785-85zhujiangroad2
Une image du bâtiment fréquenté par un éventuel hacker du groupe APT10. Image : Capture d'écran via Intrusion Truth.

Intrusion Truth a publié les première bribes d’informations sur des APT — Advanced Persistent Threats, dans ce contexte des groupes de hackers soutenus par un gouvernement — l’année dernière. Sa première cible était la cellule de pirates chinois APT3. Invoquant des informations publiques, le groupe a déclaré qu'APT3 était en réalité « Boyusec », un éditeur de logiciels à la solde des services secrets du Ministère de la sécurité de l'État chinois. Intrusion Truth a nommé deux personnes précises, Wu Yingzhuo et Dong Hao, les fondateurs de Boyusec. Le site web Boyusec a été mis hors-ligne peu de temps après, peut-être en réaction à ces dénonciations.

Six mois plus tard, le ministère de la Justice des États-Unis a lancé des poursuites contre Yingzhou, Hao et Xia Lei, un autre employé chinois de Boyusec, pour piratage informatique et autres infractions connexes. Le géant européen Siemens fait partie des victimes citées dans l'acte d'accusation. Les hackers n’ont pas été arrêtés. Cependant, comme l’a indiqué Intrusion Truth après les accusations, l’équipe Boyusec ne pourra plus voyager à l’étranger sans risquer un placement en détention. (Rien n’indique que les posts d’Intrusion Truth sont à l'origine de la mise en accusation.)

Après presque un an d’inactivité publique, Intrusion Truth a refait surface et réorienté son attention sur APT10, un autre groupe chinois de cyber-espionnage de premier plan.

« C'est l’un des deux ou trois groupes chinois les plus prolifiques du moment » explique Ben Read, un responsable en analyse de cyber-espionnage chez FireEye, qui suit le groupe depuis 2009. Il ajoute : « Ce qui les différencie des autres, c'est surtout leur échelle. »

Plusieurs sociétés de cybersécurité ont connecté APT10 à des piratages aux États-Unis, au Royaume-Uni, en Inde et ailleurs. Les victimes sont souvent des fournisseurs de services informatiques et des entreprises industrielles, notamment une compagnie minière. APT10 a l’habitude de s’attaquer à des fournisseurs de services d’infogérance — des entreprises qui procurent des services informatiques à distance — et d’utiliser ensuite cet accès privilégié pour infiltrer leurs cibles ultimes.

« Ils ont vraiment une présence globale » constate Read.

Intrusion Truth a publié les noms de trois hackers présumés de APT10. D'après le groupe, l'un d'entre eux habite Tianjin. Une source familière des opérations d'APT10 indique que certaines de ces affirmations cadrent avec des informations non-publiques sur le groupe.

(L’entreprise de cybersécurité CrowdStrike a publié son propre rapport sur Intrusion Truth et les hackers APT10 supposés après la parution de cet article. CrowdStrike a déclaré que les hackers en cause étaient embusqués dans diverses infrastructures jusqu’en juin de cette année et qu'ils fréquentent activement des forums de piratage chinois.)

Aucun des individus dénoncés par Intrusion Truth n’a souhaité répondre aux demandes de commentaires de Motherboard.

Les posts d’Intrusion Truth détaillent la manière dont APT10 aurait identifié ses victimes. La plupart des affirmations d'Intrusion Truth semblent reposer sur des rapports publics d’entreprises de cybersécurité, des adresses mail, des comptes sur les réseaux sociaux et d’autres données accessibles à tous.

Cependant, les reçus Uber recensant les déplacements d’un prétendu hacker d'APT10 ne sont pas publics. Interrogés par Motherboard, plusieurs chercheurs en cybersécurité ont expliqué qu'ils avaient probablement été dérobés après piratage du compte concerné ou interception des données de l'application.

Lorsque Motherboard a abordé la question de ces données privées, Intrusion Truth a déclaré : « Nous ne dirons pas d’où proviennent ces informations, mais nous pouvons dire que nous ne publions que ce qui s’avère vrai. » Dans son post sur Tianjin, Intrusion Truth écrit qu’« un analyste préférant rester anonyme » a fourni les captures d’écran.

**

Les entreprises de cybersécurité qui publient des rapports sur des groupes de pirates gouvernementaux pourraient dévoiler les noms des hackers à leurs clients. Cependant, ils le font rarement.

« Dévoiler leur nom ne nous avancerait en rien » explique Andrei Barysevich, le directeur de la collecte avancée chez RecordedFuture, une entreprise de renseignement sur les menaces informatiques, pendant la conférence annuelle de cybersécurité Black Hat, début août. Un porte-parole de RecordedFuture ajoute que l'entreprise ne pourrait probablement publier des noms qu'en collaboration avec les autorités. De plus, ce genre de dénonciation pose problème d'un point de vue légal — accuser quelqu’un d’être un hacker à la solde d'un gouvernement et probablement un criminel dans certains contextes sans preuve solide, c'est s'exposer à un procès en diffamation.

« Il n’y a aucun avantage », estime Barysevich. Plusieurs autres chercheurs en cybersécurité partagent ce sentiment.

Parce qu'il mise sur l'anonymat de ses membres et qu'il n'est tenu par aucune obligation commerciale, Intrusion Truth peut adopter une approche différente.

« Nous luttons contre cette activité illégale et injuste en dénonçant ses responsables, en nommant les hackers eux-mêmes et en identifiant les agences qui se cachent derrière eux. Nous ne faiblirons pas dans notre approche et possédons d'ores et déjà un grand réseau d’analystes qui travaillent pour nous » a déclaré Intrusion Truth à Motherboard.

S1534856496818-guanfu-mansion-xinkai-road-satellite
Une image satellite d'une entreprise liée à APT10, d'après les affirmations d'APT10. Image : Screenshot, via Intrusion Truth.

En réalité, dénoncer les coupables pourrait être une bonne idée. En 2014, le ministère de la Justice des États-Unis a mis en examen cinq hackers militaires chinois qu'elle suspectait d'actes de cyber-espionnage contre plusieurs cibles américaines. Mais ce n’est probablement pas la seule raison pour laquelle la Chine s’est assise à la table des négociations et que le cyber-espionnage a faibli.

« Vous pensez que l’accord signé par Obama et Xi a eu un effet ? En fait, c'est plutôt l’association du « naming and shaming » et d'une véritable menace des sanctions sur les entreprises publiques comme les fonctionnaires de très haut niveau qui a finalement fait baisser le taux de piratage » estime Adam Segal, directeur du Digital and Cyberspace Policy Program du Conseil des relations étrangères, à Motherboard. « Si, comme moi, vous pensez que le répit était temporaire, poussé par la réorganisation des cyber-forces dans l’APL [l’Armée Populaire de Libération, l'armée régulière chinoise, ndlr] alors vous pensez que le cyber-espionnage industriel chinois va continuer étant donné les intérêts stratégiques et économiques de Pékin. »

Une source de cybersécurité dotée d'une solide connaissance des APT affirme qu’en général, les Chinois s'inquiètent moins d'être pris que de réussir.

Segal estime que la dénonciation n'auront pas de véritables conséquences tant qu'elles en seront pas accompagnées de sanctions. Apparemment, Intrusion Truth en a conscience : le groupe encourage les gouvernements à convaincre la Chine qu’elle doit mettre un terme à l’espionnage commercial. « Seule une action commune peut faire la différence » admet Intrusion Truth.

Reste que bouleverser la tactique globale des pirates chinois n’est pas forcément l’objectif d’Intrusion Truth. En fait, son but est plutôt d’affecter les hackers spécifiques qu’il dénonce.

« Nous voulons que les individus qui piratent pour le compte de l’état chinois réfléchissent bien avant de s’engager dans des activités illégales » explique Intrusion Truth à Motherboard. « Comme les hackers d'APT1 et APT3 avant eux, une fois leurs noms sur la place publique, leurs chances de voyager à l’international ou d’obtenir du travail hors de Chine sont considérablement réduites. En outre, ils risquent d’être poursuivis par des organismes étrangers » ajoute-t-il. (APT1 est un groupe que la société de cybersécurité FireEye avait relié à une unité militaire spécifique chinoise en 2013.)

Jake Williams, un ancien hacker pour l’unité de la NSA Tailored Access Operations, explique dans un mail adressé à Motherboard : « Nommer des individus peut les dissuader de commettre un méfait, mais ce n’est pas le sujet ici. » À l'en croire, les hackers étatiques agissent conformément aux lois en vigueur dans leur propre pays. « Seul le temps dira si la dénonciation des opérateurs individuels affecte le recrutement et le maintien pour ces missions. » The Shadow Brokers, un groupe de hackers autoproclamés, a révélé de nombreux exploits découverts par la NSA et interpellé Williams pour son rôle au sein de l’agence.

Personne ne sait vraiment qui se cache derrière Intrusion Truth. Dans le titre d’un post, le groupe demande quelle organisation d’espionnage chinois vole « notre propriété intellectuelle », une référence aux méfaits d'APT3 au Royaume-Uni et aux États-Unis. Sans surprise, Intrusion Truth a refusé de fournir des détails sur ses membres. Mais à le croire, il est composé d’« analystes » plongés dans des données qui leur sont fournies par des individus tiers — à moins qu'ils ne les trouvent pas leurs propres moyens.

« L'une de nos dernières recrues a comparé le travail d’Intrusion Truth à celui des « Chevaliers noirs », qui devaient peindre leur armure en noir pour masquer leur affiliation et protéger leur identité. Trop de gens se préoccupent de notre orientation, nous demandent à qui nous sommes rattachés, ou si nous sommes des hackers éthiques ou criminels » explique Intrusion Truth.

« Nous ne donnerons jamais nos noms ni celui des personnes qui travaillent avec nous. Notre capacité à contester les activités méprisables de la Chine dans le cyber-espace découle précisément de notre anonymat » ajoutent-ils. « Ça, et notre volonté de dire toute la vérité. »

Mise à jour : Cet article a été mis à jour pour citer un rapport publié ultérieurement sur Intrusion Truth.

Motherboard est aussi sur Facebook, Twitter et Flipboard.