Des pirates informatiques d’État chinois interceptent des messages texte dans le monde entier

Par Nicole Hao
5 novembre 2019 Mis à jour: 6 novembre 2019

FireEye, une société de cybersécurité basée aux États-Unis, a révélé qu’un groupe de pirates chinois, APT41, soutenu par l’État, a compromis plusieurs grandes entreprises de télécommunications et a récupéré les enregistrements des appels des clients des opérateurs qu’ils considéraient comme des cibles, interceptant les messages texte ainsi que les enregistrements des appels dans le monde.

Le rapport de la société de cybersécurité ne nomme pas les sociétés de télécommunications. Selon le rapport, les pirates ont cherché dans les enregistrements d’appels et de SMS des mots-clés spécifiques, y compris les noms de cibles « de grande valeur » tels que les noms de politiciens, d’organisations de renseignement et de mouvements politiques « en désaccord avec le gouvernement chinois ».

Ce n’est pas la première fois que des pirates informatiques parrainés par l’État chinois auraient intercepté des messages texte internationaux sur des téléphones cellulaires. L’entreprise américaine de cybersécurité, Cybereason, a publié un rapport le 25 juin, dans lequel elle explique comment le groupe de pirates APT10 a mené des attaques constantes depuis 2017 contre les fournisseurs mondiaux de télécommunications. Cybereason a conclu qu’APT10 opère « pour le compte du ministère chinois de la Sécurité d’État », l’agence de renseignement en chef de la Chine. Ils devaient obtenir des dossiers détaillés sur les appels (PCEM), qui contiennent l’heure et la durée de l’appel, les numéros de téléphone concernés et la géolocalisation.

MESSAGETAP

FireEye a publié son étude sur la sécurité des SMS le 31 octobre, en se concentrant sur un nouvel outil qu’APT41 utilise : un logiciel malveillant nommé MESSAGETAP, pour intercepter les SMS des gens du monde entier.

Les messages texte sont également appelés messages SMS (Short Message Service), c’est-à-dire des messages en clair qui sont envoyés et reçus par les téléphones portables.

Le rapport explique que des pirates APT41 ont installé MESSAGETAP sur les serveurs SMSC (Short Message Service Center) des opérateurs télécoms ciblés. Le logiciel malveillant peut alors surveiller toutes les connexions réseau à destination et en provenance du serveur.

MESSAGETAP peut intercepter tout le trafic de messagerie SMS, y compris le contenu des messages, les identifiants uniques de leurs téléphones portables, connus sous le nom de numéro d’identité internationale d’abonné mobile (IMSI), et les numéros de téléphone source et destination. Ce numéro est stocké dans la carte SIM et n’est pas connu de l’utilisateur.

De plus, les pirates peuvent configurer des mots-clés dans MESSAGETAP, permettant au logiciel malveillant de filtrer le contenu qu’ils recherchent.

Au cours de l’enquête, FireEye a découvert que des pirates informatiques cherchaient des mots-clés tels que les noms de « personnes étrangères de haut rang présentant un intérêt pour les services de renseignement chinois » ainsi que des dirigeants politiques, et militaires, des organisations de renseignement et des mouvements politiques.

FireEye a dit avoir observé quatre organisations de télécommunications ciblées par l’APT41 en 2019.

Les objectifs de l’APT41

FireEye a déjà publié un rapport complet sur APT41 en août, intitulé « Double Dragon : APT41, une double opération d’espionnage et de cybercriminalité ».

« Double » fait référence au fait que « APT41 est un groupe d’espionnage parrainé par l’État chinois qui mène également des activités d’espionnage à but lucratif pour son profit personnel », depuis 2012. Elle n’a pas fourni plus de détails sur les personnes qui ont fait appel aux services d’APT41.

Une tendance particulière s’est dégagée : « APT41 cible les industries d’une manière généralement alignée sur les plans quinquennaux de développement économique de la Chine » et sur le plan décennal de Pékin « Made in China 2025 », selon le rapport.

Le groupe de pirates informatiques recueille également des renseignements en prévision d’événements importants, tels que les fusions et acquisitions (M&A) et les événements politiques.

« Made in China 2025 », lancé pour la première fois en 2015, est un plan économique qui permettra à la Chine de devenir la nation manufacturière dominante dans le monde dans 10 secteurs verticaux clés de haute technologie, comme les produits pharmaceutiques, l’intelligence artificielle et la robotique.

À LIRE AUSSI :

– « Quel est ce programme ‘Made in China 2025’ qui est la cible des tarifs douaniers américains ? » (« What Is the ‘Made in China 2025’ Program That Is the Target of US Tariffs? »)

Selon le rapport, APT41 cible les soins de santé (y compris les dispositifs médicaux et les diagnostics), les produits pharmaceutiques, le commerce de détail, les sociétés de logiciels, les télécommunications, les services de voyage, l’éducation, les jeux vidéo et les devises virtuelles.

APT41 a ciblé des entreprises de ces secteurs situées aux États-Unis, au Royaume-Uni, en France, en Italie, aux Pays-Bas, en Suisse, en Turquie, au Japon, en Corée du Sud, à Singapour, en Inde, au Myanmar, en Thaïlande et en Afrique du Sud.

But et outils

FireEye a découvert qu’APT41 se concentrait sur le vol de propriété intellectuelle dans ces pays ciblés. Mais à partir du milieu de l’année 2015, les pirates informatiques « se sont dirigés vers la collecte de renseignements stratégiques et l’établissement d’un accès et se sont éloignés du vol direct de propriété intellectuelle ».

Le groupe de pirates utilise « plus de 46 familles de logiciels malveillants et outils différents pour accomplir leurs missions, y compris des utilitaires accessibles au public, des logiciels malveillants partagés avec d’autres opérations d’espionnage chinois, et des outils propres au groupe », indique le rapport.

Afin de se protéger contre les attaques potentielles d’APT41, FireEye a conseillé aux entreprises de ne pas ouvrir les courriels qui ne leur sont pas familiers : « Le groupe utilise souvent les courriels pour le harponnage (spear-phishing emails), avec des pièces jointes comme des fichiers HTML (.chm) compilés pour compromettre ses victimes. » (Le Phishing est la pratique d’amener l’utilisateur à introduire des informations personnelles dans un faux formulaire sur Internet.)

RECOMMANDÉ