Des pirates informatiques ont pénétré dans les systèmes de plus d’une dizaine d’opérateurs de télécommunications dans le monde, récoltant de grandes quantités d’informations sur leurs clients révèle Cybereason. L’éditeur de cybersécurité, fondé par d’anciens spécialistes renseignement militaire israélien mais basé à Boston, estime que les hackers travaillent pour le gouvernement chinois. Les outils et techniques utilisés tout au long de ces attaques sont en effet compatibles avec ceux dont se sert le groupe de hackers APT10, censé agir pour le compte du ministère chinois de la Sécurité de l’État.
Ces attaques visent à obtenir des données concernant des cibles spécifiques (agents de renseignement étrangers, politiciens, candidats de l’opposition à une élection, membres des forces de l’ordre…) et ont abouti à une prise de contrôle complète du réseau. « Au-delà du ciblage d’utilisateurs individuels, cette attaque est également alarmante en raison de la menace posée par le contrôle d’un fournisseur de télécommunications », expliquent les membres de l’équipe de Cybereason qui publient le résultat de leurs recherches (et la méthodologie des attaques) sur le blog de l’entreprise. « Les télécommunications sont devenues des infrastructures critiques pour la majorité des puissances mondiales. Un cyberpirate disposant d’un accès total à un fournisseur de télécommunications, comme c’est le cas ici, peut attaquer à sa guise, de manière passive, et s’employer activement à saboter le réseau. »
Depuis au moins deux ans, les cyberpirates opèrent par vagues successives abandonnant une opération lorsqu’elle est détectée et arrêtée, pour ensuite revenir quelques mois plus tard avec de nouveaux outils et techniques.
Le but de ces attaques n’est pas d’ordre financier, les hackers s’intéressent plutôt aux enregistrements de données d’appels (source, destination et durée d’un appel, détails sur l’appareil, emplacement physique…).
Les opérateurs concernés, dont les noms n’ont pas été dévoilés, ont été avertis par les chercheurs qui leur ont « fourni toutes les informations nécessaires pour gérer l’incident en interne ». Cybereason indique que ces opérateurs fournissent leurs services en Asie, en Europe, en Afrique et au Moyen-Orient.
« En raison de multiples et diverses restrictions, nous ne pouvons pas divulguer toutes les informations que nous avons recueillies sur l’attaque dans le présent rapport. Notre équipe continuera à surveiller et à suivre l’activité des auteurs des menaces afin d’identifier plus d’outils et d’organisations compromises », concluent les chercheurs.
Ces révélations tombent au moment où Reuters publie un long rapport sur les agissements d’APT10 indiquant que ce groupe de hackers s’est introduit dans les réseaux internes d’entreprises IT, dérobant des données d’entreprise et des secrets commerciaux en cours de route, avant de pénétrer dans les systèmes des clients. Les entreprises piratées seraient HPE, IBM, Fujitsu, Tata Consultancy Services, Dimension Data, NTT et Computer Sciences Corporation. Face à ces révélations, les autorités chinoises ont répondu par un communiqué transmis à Reuters. « Le gouvernement chinois n’a jamais participé ni aidé aucune personne à commettre un vol de secrets commerciaux », peut-on lire.
On notera que ces différentes affaires apparaissent au grand jour en pleine guerre commerciale entre Washington et Pékin, accusé de pratiquer l’espionnage industriel à grand échelle.