Les États-Unis offrent jusqu’à 10 M$ pour toute information sur sept pirates d’État chinois

Le ministère de la Justice états-unien a inculpé sept pirates informatiques chinois d'une trentaine d'années, soupçonnés de travailler pour les services de renseignement de la république populaire de Chine (RPC).

Ils sont accusés d'avoir ciblé des milliers de personnes et d'entreprises américaines et internationales dans le cadre d'une série d'opérations de piratage informatique servant les objectifs d'espionnage économique et de renseignement étranger de la RPC, indique le ministère de la Justice dans un communiqué de presse.

Ils seraient employés par une entreprise – connue sous le nom de Wuhan Xiaoruizhi Science & Technology Co. – créée en 2010 par le ministère de la Sécurité de l'État (Guoanbu, ou MSS, pour Chinese Ministry of State Security) pour servir de façade à ses opérations, selon l'acte d'accusation.

La société servirait de paravent au groupe connu au sein de la communauté de la cybersécurité sous le nom de Advanced Persistent Threat 31 (APT31, aussi connu sous les noms de Zirconium, Violet Typhoon, Judgment Panda et Altaire), faisant lui-même partie d'un programme de cyberespionnage géré par le département de la sécurité de l'État du Hubei du ministère de la Sécurité publique, situé dans la ville de Wuhan.

APT31 aurait mené, « depuis au moins 2010 », des campagnes mondiales de piratage informatique ciblant des dissidents politiques et des partisans supposés situés à l'intérieur et à l'extérieur de la Chine, des fonctionnaires gouvernementaux, des candidats et du personnel politique aux États-Unis et ailleurs, ainsi que des entreprises américaines, mais aussi des militants démocrates, des universitaires et des fonctionnaires étrangers, selon le département d'État.

Ils ciblaient aussi les conjoints de leurs victimes

Les fonctionnaires américains ciblés comprenaient des personnes travaillant à la Maison-Blanche, aux ministères de la Justice, du Commerce, du Trésor et de l'État, ainsi que des sénateurs et des représentants des deux partis politiques. Ils étaient visés tant via leurs adresses électroniques professionnelles que personnelles.

En outre, et dans certains cas, les accusés ont également ciblé les conjoints des victimes, « y compris les conjoints d'un haut fonctionnaire du ministère de la Justice, de hauts fonctionnaires de la Maison-Blanche et de plusieurs sénateurs américains ». Les cibles comprenaient aussi des employés des campagnes électorales des deux principaux partis politiques américains avant les élections de 2020.

APT31 a en outre ciblé des individus et des dizaines d'entreprises opérant dans des domaines d'importance économique nationale, notamment la défense, les technologies de l'information, les télécommunications, la fabrication et le commerce, la finance, le conseil, le droit et la recherche, un fournisseur de premier plan d'équipements de réseau 5G et un fournisseur mondial de premier plan de technologie sans fil.

Des courriels piégés censés émaner de journalistes

Les sept Chinois sont accusés d'avoir envoyé plus de 10 000 courriels malveillants semblant « souvent provenir d'organes de presse ou de journalistes de premier plan », et contenir des articles d'actualité légitimes, à des milliers de victimes sur plusieurs continents au cours des 14 dernières années.

Étaient ciblés des journalistes, des responsables politiques et des entreprises « afin de réprimer les détracteurs du régime chinois, de compromettre les institutions gouvernementales et de voler des secrets commerciaux », a déclaré Lisa Monaco, vice-procureur général.

Les courriels malveillants contenaient des liens de tracking cachés, de sorte que si le destinataire ouvrait simplement le courriel, des informations sur le destinataire, y compris sa localisation, ses adresses de protocole Internet (IP), les schémas de son réseau et les appareils spécifiques utilisés pour accéder aux comptes de messagerie pertinents, étaient transmises à un serveur contrôlé par les accusés.

APT31 a ensuite utilisé ces informations pour permettre un piratage ciblé plus sophistiqué, tel que la compromission des routeurs des destinataires et d'autres appareils électroniques.

Des milliards de dollars perdus chaque année

Certaines de ces activités ont permis de compromettre les réseaux, comptes de messagerie, comptes de stockage dans le nuage et enregistrements d'appels téléphoniques de nombreuses cibles, la surveillance des comptes de messagerie compromis ayant parfois duré plusieurs années.

APT31 a aussi utilisé des techniques de piratage sophistiquées, y compris des exploits « zero-day », dont les pirates avaient donc eu connaissance avant que le fabricant ou la victime ne soit en mesure d'appliquer un correctif ou de remédier à la vulnérabilité.

Ces activités ont entraîné la compromission potentielle de modèles économiques, de propriété intellectuelle et de secrets commerciaux appartenant à des entreprises américaines, et ont « contribué aux milliards de dollars estimés perdus chaque année en raison des plans de l'appareil d'État de la RPC visant à transférer la technologie américaine vers la RPC », précise le communiqué du ministère.

« Le ministère de la Justice ne tolérera pas les efforts du gouvernement chinois visant à intimider les Américains qui servent le public, à faire taire les dissidents protégés par les lois américaines ou à voler les entreprises américaines », a déclaré le procureur général Merrick B. Garland.

« Cette affaire nous rappelle jusqu'où le gouvernement chinois est prêt à aller pour cibler et intimider ses détracteurs, y compris en lançant des opérations cybernétiques malveillantes visant à menacer la sécurité nationale des États-Unis et de nos alliés », a-t-il précisé.

Des dissidents à Hong Kong et des eurodéputés, aussi

APT31 avait ainsi ciblé des dissidents et personnes perçues comme soutenant ces dissidents, dans le monde entier. Par exemple, en 2018, après que plusieurs activistes à la tête du mouvement des parapluies de Hong Kong avaient été nommés pour le prix Nobel de la paix, APT31 avait ciblé des représentants du gouvernement norvégien et un fournisseur de services norvégien. Il avait réussi à compromettre des militants pro-démocratie de Hong Kong et leurs associés, y compris aux États-Unis et dans d'autres pays.

En 2021, APT31 avait aussi ciblé les comptes de courrier électronique de plusieurs gouvernements étrangers qui faisaient partie de l'Alliance interparlementaire sur la Chine (IPAC), un groupe fondé en 2020 à l'occasion de l'anniversaire des manifestations de la place Tiananmen en 1989. Son objectif déclaré était de contrer les menaces que le Parti communiste chinois faisait peser sur l'ordre international et les principes démocratiques.

Parmi les cibles figuraient tous les membres de l'Union européenne membres de l'IPAC et 43 députés britanniques, dont la plupart étaient membres de l'IPAC ou s'étaient exprimés ouvertement sur des sujets liés au gouvernement de la RPC.

Le département du Trésor a lui aussi sanctionné la société et les individus. Et le Royaume-Uni vient également de publiquement attribuer à des pirates informatiques du gouvernement chinois une cyberattaque contre la Commission électorale britannique et une campagne d'espionnage visant les comptes de messagerie des législateurs britanniques.

Le programme Rewards for Justice (RFJ) du Département d'État américain, administré par le Service de sécurité diplomatique, offre une récompense pouvant atteindre 10 millions de dollars pour toute information permettant d'identifier ou de localiser les pirates en question.