Les chercheurs en sécurité de CrowdStrike ont trouvé un lien entre l'activité d'un groupe de pirates chinois connu pour cibler des entreprises en aéronautique et le travail d'espionnage mené pendant plusieurs années par les agences de renseignement chinoises pour faire avancer le développement du C919, un avion de ligne destiné à concurrencer les avions d'Airbus et de Boeing de même catégorie.

Un avion made in Europe et Amérique du Nord ?

Le C919 de l’avionneur chinois Comac s’adresse au marché moyen-courrier bi-réacteur à fuselage étroit dont le développement a débuté en 2008. Le premier vol inaugural du C919 a eu lieu en 2017, après plusieurs retards dus à des problèmes technologiques. Même si le Comac C919 est présenté comme un avion de fabrication chinoise, il utilise de nombreux composants fournis par des entreprises aérospatiales d'Europe et d'Amérique du Nord, comme le montre l’infographie ci-dessous.

 

Entre 2010 et 2015, pendant le développement de l'avion, des chercheurs de CrowdStrike se sont intéressés à un groupe de pirates basé en Chine, qu'ils ont surnommé Turbine Panda. La particularité de ce groupe, c’est que ses cyberattaques ciblaient plusieurs fournisseurs de composants pour le C919. Les chercheurs pensent aujourd’hui que Turbine Panda menait, avec le gouvernement chinois, une action coordonnée pour combler le fossé technologique nécessaire à la production locale des mêmes composants par les entreprises d'État.

Les preuves indiquent que ce travail d’espionnage a été coordonné par le JSSD, le Bureau de la Province du Jiangsu du ministère chinois de la Sécurité d'État (MSS), et qu’il reposait à la fois sur un espionnage traditionnel basé notamment sur le recrutement d’initiés dans des entreprises ciblées, et sur les actions de cyberespionnage de Turbine Panda. « D'août 2017 à octobre 2018, le ministère américain de la Justice (DoJ) a publié plusieurs actes d'accusation, distincts mais liés, contre YU Pingan, développeur du malware Sakula, XU Yanjun, agent de renseignement du JSSD et ZHENG Xiaoqing, employé infiltré chez GE, et contre JI Chaoqun, réserviste et expert de l'armée américaine, ainsi que 10 pirates informatiques dirigés par ZHANG Zhang-Gui et affiliés au JSSD », ont déclaré les chercheurs de CrowdStrike dans leur rapport.

Une coordination parfaite entre le gouvernement chinois et les pirates

« Ces affaires sont particulièrement intéressantes, car prises dans leur ensemble, elles illustrent l’énorme travail de coordination mené par le JSSD pour recueillir des informations sur ses cibles aérospatiales. En particulier, les opérations liées aux activités du groupe Turbine Panda surveillé par CrowdStrike Intelligence ont montré que des opérateurs traditionnels de renseignement humain (HUMINT) et des cyber-opérateurs ont travaillé en parallèle pour voler les secrets de plusieurs entreprises aérospatiales internationales », indiquent les chercheurs dans leur rapport.

Selon les chercheurs de CrowdStrike, le malware Sakula est exclusif à Turbine Panda et au JSSD, même si Turbine Panda a également utilisé d'autres chevaux de Troie comme PlugX et Winnti, partagés pour le coup par d'autres groupes de pirates APT chinois. Le développeur de Sakula, YU Pingan, a été arrêté par le FBI en 2017 alors qu'il assistait à une conférence sur la sécurité aux États-Unis. Peu de temps après, le MSS a donné des instructions pour empêcher les chercheurs en sécurité chinois de participer à des conférences et à des « courses au drapeau » à l'étranger.

« Dans les années antérieures à cette directive, les équipes chinoises - comme celles de Qihoo 360, Tencent et Baidu - dominaient les compétitions internationales et les chasses aux bugs, y compris celles de Pwn2Own et CanSecWest, et ils remportaient des milliers de dollars en cash pour leurs exploits zero-day qu’ils développaient pour casser des systèmes populaires comme Android, iOS, ou ceux de Tesla, Microsoft et Adobe », ont encore déclaré les chercheurs de CrowdStrike. « En contrepartie, les entreprises pour lesquelles travaillaient ces chercheurs devaient livrer des informations sur la vulnérabilité au China Information Technical Security Evaluation Center (CNITSEC). Selon CrowdStrike Intelligence et d'autres rapports de l'industrie, le CNITSEC est affilié au Bureau technique du MSS et il gère la base de données nationale chinoise sur la vulnérabilité de la sécurité de l'information (CNNVD). Cette base publique est jugée non fiable par la communauté de la sécurité, « car les vulnérabilités de pointe pouvant servir à des opérations offensives du MSS sont retirées, parfois a posteriori de sa liste ».

Selon CrowdStrike, plusieurs personnes citées dans les actes d'accusation du DoJ et considérées comme appartenant au groupe de hackers Turbine Panda s’était déjà fait un nom dans les cercles de pirates chinois depuis au moins 2004, preuve que les services secrets chinois recrutent des « black hat » chevronnés. L'acte d'accusation de Zhang Zhang-Gui indique que les cyber-intrusions ont été supervisées par l’officier du renseignement Chai Meng, qui a géré les cyber-opérations du JSSD, et c’est Liu Chunliang, un pirate de l’équipe de ZHANG Zhang-Gui qui a entretenu l'infrastructure pour les attaques. C’est également Liu Chunliang qui a sourcé le malware Sakula développé par YU Pingan, ainsi qu’un autre malware appelé IsSpace, associé à un autre groupe de pirates APT chinois connus sous le nom de Samurai Panda.

Des liens avec les fuites Anthem et OPM

Les malwares Sakula et IsSpace ont été utilisés en 2015 pour dérober les données de santé de l'Assureur américain Anthem - 78,8 millions de dossiers médicaux avaient été volés - et les données de l'Office of Personnel Management (OPM), une agence indépendante américaine qui gère les salariés de la fonction publique et du gouvernement fédéral des États-Unis (les données de 4 millions d'anciens employés et d'employés sous contrat avaient été volées). D'après les rapports de l'industrie, ces deux malwares sont liés. Les techniques et procédures utilisées par les attaquants dans le vol de données de Anthem ressemblent fortement à celles utilisées lors d'une intrusion précédente chez Ametek, un fournisseur américain d'instruments électroniques et l'une des victimes de Turbine Panda.

Ces liens donnent à penser que le JSSD est à l'origine des fuites survenues chez Anthem et chez OPM. « Même après l'arrestation d'un officier supérieur du renseignement du MSS et d'un précieux développeur de malwares, les avantages potentiels du cyberespionnage pour atteindre les principaux objectifs stratégiques de la Chine semblent à ce jour l'emporter sur les conséquences », ont déclaré les chercheurs de CrowdStrike. « La réalité, c’est que de nombreux autres cyber-opérateurs ayant participé aux opérations de Turbine Panda ne se retrouveront probablement jamais derrière les barreaux d’une prison », ont-ils ajouté, estimant que « les arrestations ont peu de chance d'empêcher Pékin de mener d'autres cyberattaques majeures afin de se développer rapidement dans des domaines d'importance stratégique ».

Les entreprises du secteur aéronautique continuent d'intéresser les pirates chinois et les attaques contre ces entreprises devraient se poursuivre. En 2017, après le premier vol du C919, l’entreprise chinoise Aero Engine Corporation of China (AECC) et l’entreprise russe United Aircraft Corp (UAC) ont annoncé la création d'une joint-venture pour développer un nouvel avion baptisé CR929, un gros-porteur destiné à concurrencer les Airbus 350 et Boeing 787. Comme dans le cas du C919, les moteurs, systèmes électriques embarqués et autres composants du CR929 seront d’abord achetés à des fournisseurs étrangers. CrowdStrike alerte les entreprises qui postulent pour ces contrats qu’elles « peuvent devenir la cible d'adversaires basés en Chine qui ont démontré leur capacité et leur intention de se livrer à ces vols de propriété intellectuelle à des fins économiques ». Les chercheurs ne peuvent pas dire avec certitude si « la Russie, un État qui dispose également de cyber informaticiens expérimentés, pourrait se livrer aussi à des vols de propriété intellectuelle pour développer le CR929 ».