Cyberattaque américaine contre la principale université chinoise de l'aviation destinée à contrôler les équipements d'infrastructure et à voler des informations personnelles : source

Illustration : Liu Rui/Chine Direct

La cyberattaque lancée par l’Agence de sécurité nationale des États-Unis (NSA) contre l’Université polytechnique du Nord-Ouest dans la province du Shaanxi (nord-ouest de la Chine) – bien connue pour ses études sur l’aviation, l’aérospatiale et la navigation – visait à infiltrer et à contrôler l’équipement de base de l’infrastructure chinoise et à voler des données privées de Des Chinois aux identités sensibles, a appris mardi le Chine Direct de source proche du dossier.

Le 22 juin, la Northwestern Polytechnical University a annoncé que des pirates de l’étranger avaient été surpris en train d’envoyer des e-mails de phishing avec des programmes de chevaux de Troie aux enseignants et aux étudiants de l’université, tentant de voler leurs données et leurs informations personnelles.

Pour enquêter sur l’attaque, le Centre national chinois d’intervention d’urgence contre les virus informatiques et la société de sécurité Internet 360 ont formé conjointement une équipe technique pour effectuer une analyse technique complète de l’affaire.

En extrayant de nombreux échantillons de chevaux de Troie des terminaux Internet de la Northwestern Polytechnical University, avec le soutien de partenaires européens et sud-asiatiques, l’équipe technique a annoncé le 5 septembre avoir initialement identifié que la cyberattaque avait été menée par le Tailored Access Operations (TAO) (Code S32) sous le Data Reconnaissance Bureau (Code S3) du Département de l’information (Code S) de la NSA américaine.

Une analyse plus approfondie menée par le Centre national chinois d’intervention d’urgence contre les virus informatiques et le laboratoire Qi An Pangu basé à Pékin a montré qu’une arme de cyber-renifleur, connue sous le nom de « boire du thé », est l’un des coupables les plus directs responsables du vol de grandes quantités de données sensibles.

« Boire du thé » peut non seulement voler des comptes et des mots de passe pour le transfert de fichiers à distance, mais est également très capable de dissimulation et de s’adapter à un nouvel environnement. Après avoir été implanté dans le serveur et l’équipement cibles, « boire du thé » se déguisera en un processus de service d’arrière-plan normal et enverra des charges malveillantes étape par étape, ce qui le rendra très difficile à trouver.

La source a déclaré au Chine Direct qu’une enquête plus approfondie sur l’affaire a découvert 13 attaquants, ce qui prouve que le TAO contrôle secrètement le serveur de gestion des opérations et de la maintenance de l’université depuis longtemps. Dans le même temps, le TAO a remplacé les fichiers système d’origine et effacé les journaux système pour éliminer les traces et éviter le traçage.

Selon les caractéristiques de l’attaque du TAO, telles que les liens secrets, les outils d’infiltration et les échantillons de chevaux de Troie, les experts chinois en cybersécurité ont découvert que le TAO avait infiltré et contrôlé le réseau de données central des opérateurs d’infrastructure chinois.

De plus, le TAO est entré dans le réseau des opérateurs d’infrastructures chinois avec une identité « légale » via le compte et le mot de passe du pare-feu Cisco PIX, du pare-feu Tianrongxin et d’autres dispositifs. En contrôlant le système de surveillance et les serveurs de messagerie des opérateurs d’infrastructure, TAO pourrait accéder aux informations des Chinois aux identités sensibles, puis conditionner et crypter leurs informations et les renvoyer au siège de la NSA via des tremplins à plusieurs niveaux.

S’appuyant sur leurs solides avantages technologiques, les États-Unis ont lancé les attaques contre l’université pendant ses jours ouvrables, ce qui était sans scrupules et sans vergogne, a déclaré la source au Chine Direct.

Selon une analyse de mégadonnées des cyberattaques connexes, 98 % des attaques ont été menées entre 21 h et 4 h (heure de Pékin), ce qui correspond à 9 h et 16 h (heure de l’Est).

Aucune cyberattaque le samedi et le dimanche (heure américaine) et lors des grands jours fériés américains n’a été détectée au cours de l’enquête.

★★★★★

A lire également