À la suite de l'étude, le Wall Street Journal a constaté que l'attaque de Cloud Hopper était beaucoup plus étendue qu'on ne le pensait auparavant.
Les pirates semblaient se cacher partout.
Dans l'une des plus grandes tentatives d'organisation de l'espionnage industriel, les agresseurs auraient, en collaboration avec les services de renseignement chinois, volé au cours des dernières années de grandes quantités de propriété intellectuelle, des détails concernant l'accès aux informations classifiées et à d'autres documents de nombreuses entreprises. Ils ont eu accès à des systèmes contenant les secrets de l'exploration par Rio Tinto, ainsi qu'à la recherche médicale non publique de la société géante d'électronique et de soins de santé Philips.
Ils sont entrés dans les systèmes via des fournisseurs de services cloud - les clouds mêmes où les entreprises stockaient leurs données dans l'espoir de leur sécurité. Ayant pénétré un tel service, les pirates pouvaient se déplacer de manière anonyme et libre d'un client à un autre, et pendant des années ont résisté aux tentatives des chercheurs de les expulser de là.
Pour la première fois, des chercheurs en cybersécurité ont découvert des signes de piratage informatique en 2016 et les ont nommés Cloud Hopper [cloud hopper]. En décembre dernier, les procureurs américains en ont
accusé deux citoyens chinois. Les suspects ne sont pas encore détenus.
Une étude du Wall Street Journal a révélé qu'en fait, l'ampleur de cette attaque est beaucoup plus grande qu'on ne le pensait auparavant. Il va bien au-delà des 14 sociétés anonymes énumérées dans l'acte d'accusation; il s'étend à plusieurs fournisseurs cloud d'au moins dix, dont CGI Group Inc., l'un des plus grands fournisseurs canadiens; Tieto Oyj, une grande société informatique finlandaise; et International Business Machines Corp.
Le WSJ a rassemblé des informations sur le piratage et les contre-attaques menées par les sociétés de sécurité et les gouvernements occidentaux, interrogé plus de dix enquêteurs, examiné des centaines de pages de documentation interne et d'enquêtes sur les entreprises, ainsi que des données techniques liées aux intrusions.
WSJ a constaté que chez Hewlett Packard Enterprise Co. tout était si mauvais que la société cloud n'a même pas remarqué que des pirates informatiques réintégraient le réseau client et ont donné le feu vert à tous les clients.
À l'intérieur des nuages, un groupe de pirates informatiques, que les responsables et chercheurs occidentaux ont surnommé APT10, ont eu accès à un vaste ensemble de clients. Une étude du WSJ a trouvé des centaines d'entreprises travaillant avec les fournisseurs de cloud concernés, notamment Rio Tinto, Philips, American Airlines Group Inc., Deutsche Bank AG, Allianz SE et GlaxoSmithKline PLC.
Le directeur du FBI, Christopher Ray, a lu l'accusation de deux citoyens chinois dans l'attaque de Cloud Hopper le 20 décembre 2018La question de savoir si les pirates restent à l'intérieur des réseaux d'entreprises à ce jour reste une question ouverte. WSJ a examiné les données fournies par SecurityScorecard et a trouvé des centaines d'adresses IP dans le monde qui ont continué à transmettre des données au réseau APT10 d'avril à la mi-novembre.
Selon des responsables actuels et anciens, les autorités américaines, y compris le ministère américain de la Justice, se demandaient si elles étaient victimes de ces attaques et si ces attaques permettaient au gouvernement chinois d'accéder à des infrastructures essentielles. En 2019, Reuters a
rendu compte de certains aspects intéressant le projet chinois de cyberespionnage.
Maintenant, le gouvernement américain affirme qu'APT10 a réussi à voler des cas détaillés sur plus de 100 000 membres du personnel de la marine américaine.
Les marins de l'US Navy regardent un avion Growler EA-18Des chercheurs, du gouvernement et de tiers, affirment que bon nombre des plus grandes sociétés de cloud computing ont essayé de garder les clients dans l'ignorance de ce qui se passe sur leurs réseaux. "C'était comme essayer d'arrêter les sables mouvants", a déclaré un chercheur.
Les responsables du département américain de la Sécurité intérieure sont tellement contrariés par la résistance des sociétés de cloud computing qu'ils travaillent aujourd'hui à la révision des contrats fédéraux pour forcer les entreprises à se soumettre à la détection future, comme disent certaines personnes familières avec le sujet.
Un porte-parole du département américain de la Sécurité intérieure n'a pas répondu à la question de savoir si le ministère avait été piraté. Le ministère de la Justice n'a pas non plus répondu à la demande.
Le porte-parole de HPE, Adam Bauer, a déclaré que la société «avait travaillé dur pour corriger l'impact de ces intrusions sur nos clients», et a ajouté que «la sécurité des données des utilisateurs est notre priorité absolue».
"Nous nions complètement toutes les allégations des médias selon lesquelles HPE n'a pas coopéré avec le gouvernement avec tout le zèle possible", a déclaré Bauer. "Toutes ces allégations sont des mensonges flagrants."
Le porte-parole d'IBM, Edward Barbini, a déclaré que la société enquêtait sur les incidents avec les agences gouvernementales concernées, et a ajouté que «nous n'avons aucune preuve de compromis sur des données d'entreprise sensibles. Nous avons travaillé individuellement avec tous les clients qui ont exprimé leur inquiétude. »
Ce piratage démontre la vulnérabilité qui existe au centre des affaires mondiales - après tout, les plus grandes entreprises du monde stockent des volumes toujours croissants d'informations sensibles sur les capacités des fournisseurs de cloud qui se vantent depuis longtemps de leur sécurité.
De nombreuses entreprises contactées par les rédacteurs du WSJ ont refusé de révéler si elles avaient été attaquées. American Airlines a déclaré avoir reçu une notification de HPE en 2015 que "leurs systèmes étaient impliqués dans un incident de cybersécurité" et qu'ils "n'avaient trouvé aucune preuve de compromission de systèmes ou de données".
Philips a déclaré que la société était au courant des tentatives de piratage pouvant être associées aux activités d'APT10 et que "aujourd'hui, toutes ces tentatives ont été supprimées de manière appropriée".
Un porte-parole d'Allianz a déclaré que la société "n'avait trouvé aucune preuve" de la présence d'APT10 dans leurs systèmes.
GlaxoSmithKline, Deutsche Bank, Rio Tinto et Tieto n'ont fait aucun commentaire. CGI n'a pas reçu de réponse à plusieurs demandes. Le gouvernement chinois n'a pas non plus répondu à la demande. Dans le passé, il a déjà nié les accusations de piratage.
Fantômes
Les chercheurs disent que Cloud Hopper est devenu la nouvelle technologie pour APT10 (Advanced Persistent Threat, l'un des groupes de pirates chinois les plus insaisissables). «Rappelez-vous cette vieille blague sur la raison pour laquelle vous devez voler une banque? Dit Anne Newberger, chef de la direction de la cybersécurité de la National Security Agency. "Parce que l'argent est là."
Les APT10 liés à la sécurité sont suivis depuis plus d'une décennie, tandis que ces derniers ont acheminé les gouvernements, les sociétés d'ingénierie, les sociétés aérospatiales et les télécommunications. De nombreuses informations sur cette équipe restent secrètes, bien que les procureurs américains aient suggéré qu'au moins plusieurs de ses membres travaillent pour le ministère chinois de la Sécurité intérieure.
Pour pénétrer dans les services cloud, les pirates ont parfois envoyé des e-mails de phishing aux administrateurs disposant d'un niveau d'accès élevé. Parfois, ils les ont piratés via des systèmes de sous-traitants, disent les chercheurs.
Rio Tinto a été l'une des premières cibles et un lapin expérimental, à en juger par les allégations de deux personnes familières avec cette affaire. La société impliquée dans le cuivre, les diamants, l'aluminium, le minerai de fer et l'uranium a été piratée via le fournisseur de cloud CGI en 2013.
Mine Rio Tinto à Harrow, Californie.Ce que les pirates ont pu obtenir est inconnu, mais l'un des chercheurs familiers avec cette affaire a déclaré que ces informations peuvent être utilisées pour acheter des biens immobiliers dans les endroits où les sociétés minières envisagent de commencer le développement.
Orin Palivoda, un agent spécial du FBI enquêtant sur Cloud Hopper, a déclaré lors d'une récente conférence de sécurité à New York que l'équipe APT10 fonctionnait comme des fantômes dans les nuages. Ils "ressemblaient essentiellement à tout le reste du trafic", a-t-il déclaré. "Et c'est un gros, gros problème."
Chris McConkie, chercheur principal en cybersécurité dans la filiale londonienne de PricewaterhouseCoopers, a été l'un des premiers à découvrir l'étendue des opérations d'APT10. Lors d'un audit de sécurité de routine dans une société de conseil internationale début 2016, des points rouges sont soudainement apparus sur ses écrans, indiquant une attaque de masse.
Au début, son équipe a décidé que cette attaque n'était qu'un cas isolé inhabituel, car les pirates informatiques ont pénétré à travers le cloud, et non à travers l'entreprise elle-même. Cependant, ils ont alors commencé à rencontrer un modèle similaire avec d'autres clients.
"Lorsque vous réalisez qu'il existe de nombreux cas de ce type - et que les attaquants comprennent vraiment à quoi ils ont accès et comment en abuser - vous comprenez la gravité des conséquences possibles", a déclaré McConkie. Il n'a pas nommé d'entreprises ou de fournisseurs spécifiques.
L'équipe de McConkie - un groupe a refusé l'accès aux méchants, l'autre a collecté des informations sur les pénétrations et évalué où les pirates pouvaient toujours aller - a travaillé sur un étage sûr, accessible uniquement sur des ascenseurs séparés.
Chris McConkieIls ont appris que les pirates travaillaient en équipe. L'équipe de mardi, comme l'appelait McConkie, a visité les services pour s'assurer que tous les noms d'utilisateur volés et leurs mots de passe fonctionnaient toujours. Un autre groupe est souvent apparu après quelques jours et a volé des données cibles.
Parfois, les pirates ont utilisé les réseaux des victimes comme sites de stockage pour les données volées. Une entreprise a par la suite découvert qu'elle stockait des informations d'au moins cinq sociétés différentes.
Au cours des premiers mois de travail, le groupe McConkie a commencé à partager des informations avec d'autres sociétés de sécurité, qui ont également commencé à tomber sur des fantômes. Les attaquants ont parfois taquiné les chasseurs en enregistrant des noms de domaine pour leurs campagnes telles que gostudyantivirus.com et originalspies.com.
"Non seulement j'ai vu des groupes chinois APT se moquer des chercheurs de manière aussi agressive", a déclaré Mike Maclellan, directeur de la recherche en sécurité chez Secureworks. Il a ajouté que parfois APT10 incluait souvent des phrases offensantes dans son malware.
HPE a été l'une des victimes les plus importantes des pirates informatiques, dont les services cloud pour les services aux entreprises ont servi des données provenant de milliers d'entreprises de dizaines de pays. L'un de ses clients, Philips, gère 20000 To de données, y compris d'énormes quantités d'informations liées aux chercheurs cliniques et aux données d'application pour les personnes atteintes de diabète, comme indiqué dans une vidéo publicitaire publiée sur Twitter de HPE en 2016.
APT10 est un problème sérieux pour HPE depuis au moins 2014 - et la société ne dit pas toujours aux clients la gravité du problème avec ses nuages, selon des personnes familières avec ce sujet.
Armoire serveur chez HP Enterprise à Boeblingen, Allemagne.Pour compliquer les choses, les pirates ont eu accès à l'équipe de la société chargée de signaler les cyberincidents, comme le disent plusieurs personnes familières avec l'affaire. Alors que HPE s'efforçait de nettoyer les infections, les pirates ont surveillé l'entreprise et sont entrés dans les systèmes nettoyés, entamant un nouveau cycle, comme l'a dit l'une des personnes mentionnées.
"Nous avons travaillé avec diligence pour éliminer les conséquences de l'invasion jusqu'à ce que nous soyons convaincus que nous avons complètement éliminé les traces de crackers dans le système", a déclaré Bauer, un porte-parole de HPE.
Au cours de ce processus, HPE a dirigé la division cloud dans une société distincte, DXC Technology. HPE a signalé dans les archives publiques de l'époque qu'elle n'avait pas de failles de sécurité qui entraîneraient des coûts matériels.
Le porte-parole de DXC, Richard Adamonis, a déclaré qu '«aucun incident de cybersécurité n'a eu d'incidence négative sur les actifs corporels de DXC ou de ses clients».
Un porte-parole de Philips a déclaré que les services fournis par HPE n'étaient «pas liés au stockage, à la gestion ou au transfert des données des patients».
Rebuff
Les premières réponses vraiment sérieuses ont commencé à prendre forme en 2017. Une équipe croissante de combattants a rejoint plusieurs sociétés de sécurité, des fournisseurs de cloud affectés par les attaques et des dizaines de victimes.
Les sociétés de cloud computing, qui ont d'abord refusé de partager des informations, ont changé d'avis et ont commencé à coopérer après avoir été pressées par les gouvernements occidentaux, comme l'ont dit plusieurs personnes familières avec la situation.
Pour commencer, les chercheurs ont ajouté de fausses entrées aux calendriers des dirigeants d'entreprise dans les systèmes de victimes afin que les pirates aient la fausse impression que les dirigeants partaient pour le week-end. Cela a été fait pour que les pirates croient que l'entreprise ne soupçonne rien. Ensuite, les chercheurs se sont soudainement connectés aux systèmes en dehors de la période de travail habituel du pirate informatique et ont brusquement coupé leur accès en fermant les comptes compromis et en isolant les serveurs infectés.
APT10 est rapidement revenue, attaquant de nouvelles victimes, dont plusieurs sociétés financières.
L'un des nouveaux objectifs a été IBM, qui propose des services cloud à de nombreuses sociétés du Fortune 500, ainsi qu'à des agences gouvernementales américaines telles que le General Services Office, le Department of the Interior et l'armée.
Stand IBM au salon CeBIT à Hanovre, Allemagne, 2018.Un porte-parole de la gestion des services généraux a déclaré que l'agence travaille avec plusieurs sociétés de cloud, connaît Cloud Hopper et "gère avec vigilance les menaces de sécurité". Le département américain de l'Intérieur et l'armée américaine n'ont pas commenté la situation.
On sait très peu de choses sur ce qui s'est passé chez IBM. Les pirates ont appris à mieux se cacher et à rediriger leurs attaques via des chaînes de plusieurs serveurs. Les responsables américains ont décrit un sentiment de panique qui les a saisis en 2017 et 2018, lorsqu'ils ont appris les nouveaux hacks effectués par APT10. La situation est devenue si critique qu'ils ont dû lancer un avertissement public que les pirates avaient infiltré les infrastructures les plus importantes du pays, y compris l'informatique, l'énergie, les soins de santé et la fabrication.
L'administration Trump réfléchit depuis plusieurs mois à ce à quoi ressemblera le dossier contre les pirates, à ce que le public peut dire et comment cela affectera l'échange. D'anciens responsables américains familiers avec l'étude disent qu'ils espéraient initialement imposer des sanctions contre les Chinois associés à l'attaque, et ont nommé une demi-douzaine de citoyens chinois, dont certains chinois directement liés aux renseignements du pays.
En conséquence, seules deux personnes ont été nommées. Des informateurs à proximité ont déclaré qu'une opération comme Cloud Hopper nécessite autant de personnes que possible, y compris des développeurs, des opérateurs de pénétration et des linguistes pour travailler avec du matériel volé.
De ces deux, il y a peu d'informations sur Zhu Hua, connu en ligne sous le nom de Godkiller. Les chercheurs ont associé une autre personne, Zhang Shilong, connue sous le nom de Darling Dragon, à un compte sur les réseaux sociaux, qui a publié des instructions sur la façon d'apprendre le piratage.
Les deux, très probablement, sont toujours en Chine et peuvent se retrouver dans une prison américaine jusqu'à 27 ans pour complot, fraude et vol d'identité. Mais les États-Unis n'ont pas de traité d'extradition avec la Chine, et les rédacteurs du WSJ n'ont pas pu les contacter pour recevoir des commentaires.
Un ancien responsable du renseignement américain a déclaré que selon les données qu'ils avaient saisies à ce moment-là, les opérateurs chinois célébraient leur gloire et leur renommée soudaines.
Aujourd'hui, on sait peu de choses sur les plans d'utilisation des données volées. Contrairement à d'autres attaques, les annonces pour la vente de ces montagnes de précieuses données commerciales n'apparaissent pas sur l'ombre d'Internet.
Les attaques de Cloud Hopper sont toujours extrêmement intéressées par les chercheurs fédéraux travaillant sur la question de savoir si cette campagne est liée à d'autres cas de pénétration significative dans l'infrastructure des entreprises, où les Chinois étaient également suspectés.
Les chiffres définitifs de la campagne - à la fois le volume d'accès aux réseaux et la quantité exacte de données volées - ne sont toujours pas connus des chercheurs ou des autorités occidentales.
Bien que les responsables américains et les sociétés de sécurité disent que l'activité APT10 a diminué au cours de l'année précédente, la menace pour les fournisseurs de cloud reste la même. Des chercheurs de Google ont récemment rapporté que des pirates, prétendument financés par le gouvernement russe, avaient tenté de pirater des fournisseurs de services de contrôle à distance, que les attaquants avaient également choisis comme cible.
"Je serais choqué de savoir qu'aujourd'hui, vous ne pouvez pas trouver des dizaines d'entreprises qui ne soupçonnent pas APT10 d'avoir piraté leur réseau ou d'y avoir toujours accès", a déclaré Luke Demboski, ancien procureur général adjoint adjoint à la sécurité nationale, travaille maintenant avec des entreprises qui ont été attaquées par divers groupes, dont APT10.
«La seule question est que font-ils là-bas? Dit McConkie. "Ils ne sont allés nulle part." Juste ce qu'ils font en ce moment, nous ne le voyons pas. "