De nouveaux rapports publiés cette semaine sur des violations de données récentes et très médiatisées démontrent de manière convaincante qu’une course aux cyber-armements de style guerre froide a émergé entre les États-Unis et la Chine.
UNE étude publié jeudi par McAfee et le Centre d’études stratégiques et internationales ont constaté que plus de la moitié des 600 cadres interrogés dans le monde ont déclaré avoir fait l’objet d’une « infiltration furtive » par des adversaires de haut niveau, et que 59 % pensaient que des représentants de gouvernements étrangers avaient été impliqués dans les attaques.
Une analyse plus granulaire publiée jeudi par Mandiantune société de sécurité basée à Alexandria, en Virginie, se concentre sur les violations de données auxquelles elle a répondu impliquant la soi-disant «menace persistante avancée», ou celles caractérisées par des attaques hautement ciblées utilisant des logiciels malveillants sur mesure entre les mains de patients, bien- assaillants financés.
Mandiant note que l’ampleur, le fonctionnement et la logistique de la conduite de ces attaques – contre le gouvernement, les secteurs commercial et privé – indiquent qu’elles sont parrainées par l’État.
Le gouvernement chinois peut autoriser cette activité, mais il n’y a aucun moyen de déterminer l’étendue de son implication. Néanmoins, nous avons pu corréler presque toutes les intrusions APT sur lesquelles nous avons enquêté avec les événements actuels en Chine. Dans tous les cas, les informations exfiltrées par chaque groupe d’attaquants sont en corrélation avec un besoin de renseignements liés aux prochaines fusions et acquisitions majeures entre les États-Unis et la Chine, aux négociations commerciales d’entreprise ou aux opportunités d’acquisition de bases industrielles de défense. [emphasis added].
Les rapports arrivent quelques jours seulement après le Christian Science Monitor révélé que trois compagnies pétrolières basées au Texas – Conoco, ExxonMobil et Marathon – ont été alertés par le FBI que leurs systèmes avaient été pénétrés en 2008. L’article de Monitor indiquait que les attaques, supposées provenir de Chine, ciblaient des « données d’offre » sur les réserves de pétrole et les sites de forage potentiels.
Le rapport Mandiant propose plusieurs études de cas anonymes d’intrusions apparemment ciblées en 2009 qui fournissent un aperçu détaillé des motivations probables des attaquants :
-vs. gouvernement:
« En 2009, Mandiant a été témoin [attackers] ciblant plusieurs entités gouvernementales locales, étatiques et fédérales dont le point commun était leur accès à des informations liées au terrorisme… Les e-mails malveillants du premier événement ont été envoyés à une organisation chargée de regrouper les agences d’application de la loi locales, étatiques et fédérales dans un emplacement central pour favoriser le partage d’information entre les différents paliers de gouvernement. Le deuxième événement impliquait un haut responsable de la lutte contre le terrorisme dont le compte de messagerie a été ciblé avec une extrême précision. Le troisième événement impliquait des données appartenant à une autorité de coordination gouvernementale qui reçoit des informations de renseignement du gouvernement local, étatique et fédéral… Lorsqu’ils sont vus collectivement, ces incidents indiquent clairement un effort pour combler une lacune en matière de renseignement.
Mandiant a déclaré que l’année dernière, les forces de l’ordre avaient notifié une entreprise de fabrication Fortune 500 basée aux États-Unis qui avait entamé des discussions pour acquérir une société chinoise. Les autorités fédérales ont déclaré à l’entreprise que des intrus avaient volé des e-mails critiques contenant des détails sur la négociation aux dirigeants de l’organisation victime quelques jours avant les négociations :
« Des données sensibles ont quitté l’entreprise sur une base hebdomadaire pendant les négociations, offrant potentiellement à l’entreprise chinoise une visibilité sur les stratégies de tarification et de négociation. »
Décrivant une intrusion réussie dans un entrepreneur de défense de grande taille, Mandiant a déclaré avoir trouvé des cas où les intrus étaient aussi patients qu’ils devaient l’être :
« Les implants ont été configurés pour dormir pendant quelques semaines à quelques mois, avec un implant configuré pour dormir pendant plus d’un an. Ceci est un exemple clair de la façon dont les attaquants sont patients et indique la durée qu’ils investissent stratégiquement dans un réseau de victimes.
L’étude montre également à quel point les logiciels de sécurité détectent rarement les logiciels malveillants utilisés dans ces attaques hautement ciblées.
« Parmi les échantillons que nous avons découverts et examinés, seuls 24 % ont été détectés par un logiciel de sécurité. »
L’analyse de Mandiant se termine par un tutoriel utile sur ce à quoi s’attendre si vous êtes victime d’une de ces attaques furtives. Harlan Carveyauteur de l’accessible Blog de réponse aux incidents Windowssuggère que le rapport devrait être une lecture obligatoire pour tous les cadres de niveau C et pour les personnes responsables de la défense des réseaux informatiques des entreprises et du gouvernement.
« Les méchants sont compartimentés, dévoués et ont un stimulant économique pour ce qu’ils font », a écrit Carvey dans un message instantané à breachtrace.com. « Les victimes sont encore, pour la plupart, désorganisées et n’ont pas de personnel dédié à la protection et à la réponse. »