La concurrence cybernétique entre les États-Unis et la Chine continue de s'intensifier

Le ministère chinois de la Sécurité d'État (MSS) a accusé publiquement l'Agence de Sécurité Nationale (NSA) américaine de mener une campagne de cyberattaque prolongée et pluriannuelle contre son Centre National Time Service (NTSC), l'installation responsable de la génération et de la maintenance de l'heure de Beijing.

Les allégations explosives, d’abord détaillées dans un post sur les réseaux sociaux par le MSS et rapportées par les médias d’État, affirment que la campagne a commencé dès mars 2022 et s’est poursuivie jusqu’en 2024.L’objectif, selon les autorités chinoises, était de voler des données sensibles et de prépositionner le sabotage potentiel de l’infrastructure critique de la Chine.

Le NTSC, basé à Xian, est une institution nationale vitale.Il fournit une synchronisation précise du temps pour les communications du pays, les systèmes financiers, le réseau électrique, les transports et la défense nationale.Les responsables chinois ont averti que toute perturbation pourrait entraîner des "conséquences graves", y compris des pannes de réseau et des perturbations du système financier.

L'ambassade américaine à Pékin n'a pas commenté immédiatement les accusations.

Selon la déclaration MSS et les rapports de l'équipe technique de réponse d'urgence du réseau informatique national chinois (CNCERT), l'opération était une intrusion sophistiquée en plusieurs étapes qui mélangeait l'exploitation des appareils mobiles avec l'infiltration du réseau.

Phase 1 : compromis initial (2022)

Le vecteur initial de l'attaque aurait impliqué l'exploitation d'une vulnérabilité dans le service de messagerie d'une "marque de téléphonie mobile étrangère" anonyme.

• Les attaquants ont utilisé cette vulnérabilité pour accéder aux appareils mobiles de plusieurs membres du personnel du NTSC.
• De cette base, ils auraient volé des données sensibles et des identifiants de connexion stockés sur les téléphones, fournissant une passerelle vers le réseau interne du centre.

Phase 2 : Mouvement latéral et escalade (2023-2024)

En utilisant les identifiants volés, les attaquants auraient augmenté leurs privilèges et se déplacé latéralement au sein du réseau NTSC.

• Les autorités chinoises affirment que la NSA a déployé 42 types différents d'« armes de cyberattaque spécialisées » ou outils pour mener des attaques à haute intensité contre des systèmes internes.Les 42 armes cybernétiques ont été principalement classées comme:
  • Contrôle d'avant-poste (par exemple, "eHome_0cx") : Pour la persistance secrète à long terme.
  • Construction de tunnel (par exemple, "Back_eleven") : Utilisé pour la télécommande et le transfert de données cryptées.
  • Vol de données (par exemple, "New_Dsz_Implant"): Un cadre modulaire avec une homogénéité élevée du code avec l'outil "DanderSpritz" des NSA, permettant diverses fonctions de vol de données.
• L'objectif principal pendant cette phase était d'infiltrer le "Système de service horaire au sol de haute précision", un composant central de l'infrastructure horaire de la Chine.
• Le MSS affirme que cette mesure montre une intention de "désactiver et saboter" le système, pas seulement mener à bien l'espionnage.

Tactiques de furtivité et d'évasion

L'enquête du CNCERT, citée dans les rapports, a fourni une ventilation technique des méthodes des attaquants pour éviter la détection:

• Obfuscation de l'infrastructure: L'infrastructure d'attaque aurait utilisé un réseau mondial de serveurs virtuels "trampoline" situés aux États-Unis, en Europe et en Asie pour dissimuler sa véritable origine.
• Le code malveillant aurait été déguisé en modules système Windows légitimes pour échapper aux logiciels de sécurité.
• Défenses de contournement: Les attaquants auraient utilisé de faux certificats numériques pour contourner la détection antivirus.
• Anti-médecine légale : un chiffrement fort aurait été utilisé pour effacer les traces numériques et entraver les enquêtes.
• La plupart des attaques auraient été lancées tard dans la nuit ou tôt le matin (heure de Beijing) pour réduire les chances de détection en temps réel.

L'analyse du CNCERT, comme rapporté par les médias chinois, a décrit les capacités des NSA comme avancées, mais a également noté "des signes de stagnation" et un "manque d'innovation véritable" dans les outils, suggérant qu'ils pourraient avoir été réaffectés à partir d'opérations antérieures.

Cet incident marque une escalade significative des accusations de cyberespionnage "tit-for-tat" en cours entre Washington et Pékin.Alors que les États-Unis ont fréquemment accusé la Chine de cibler ses propres infrastructures critiques, cette accusation publique détaillée de la haute agence de renseignement chinoise met en évidence le cyberconflit sur les infrastructures nationales critiques.