Exclusif: des preuves montrent que la NSA américaine est derrière l'attaque du système de messagerie de la principale université d'aviation chinoise

cyberattaque Photo: VCG

Le système de messagerie d’une université de la province du Shaanxi, dans le nord-ouest de la Chine, bien connue pour ses études sur l’aviation, l’aérospatiale et la navigation, a été attaqué par l’Agence de sécurité nationale (NSA) des États-Unis, a appris lundi le Chine Direct d’une source. .

Le 22 juin, la Northwestern Polytechnical University a annoncé que des pirates de l’étranger avaient été surpris en train d’envoyer des e-mails de phishing avec des programmes de chevaux de Troie aux enseignants et aux étudiants de l’université, tentant de voler leurs données et leurs informations personnelles.

Un communiqué de police publié le lendemain par le bureau de la sécurité publique de Beilin à Xi’an a déclaré que l’attaque avait tenté d’inciter les enseignants et les étudiants à cliquer sur des liens d’e-mails de phishing avec des programmes de chevaux de Troie, avec des thèmes impliquant l’évaluation scientifique, la soutenance de thèse et des informations sur l’étranger. voyager, afin d’obtenir leurs identifiants de connexion par e-mail.

Pour enquêter sur l’attaque, le Centre national chinois d’intervention d’urgence contre les virus informatiques et la société de sécurité Internet 360 ont formé conjointement une équipe technique pour effectuer une analyse technique complète de l’affaire.

En extrayant de nombreux échantillons de chevaux de Troie des terminaux Internet de la Northwestern Polytechnical University, avec le soutien de partenaires européens et sud-asiatiques, l’équipe technique a initialement identifié que la cyberattaque contre l’université avait été menée par les opérations d’accès sur mesure (TAO) (code S32) sous le Data Reconnaissance Bureau (Code S3) du Département de l’information (Code S) de la NSA des États-Unis.

TAO est la partie la plus importante et la plus importante de la division du renseignement de la NSA. Fondée en 1998, la principale responsabilité de TAO est d’utiliser Internet pour accéder secrètement aux informations privilégiées de ses concurrents, y compris d’envahir secrètement l’infrastructure d’informations clés des pays cibles pour voler les codes de compte, casser ou détruire les systèmes de sécurité informatique, surveiller le trafic réseau, envahir confidentialité et voler des données sensibles, et accéder aux appels téléphoniques, aux e-mails, aux communications réseau et aux messages.

Les différents départements de TAO sont composés de plus de 1 000 militaires actifs, de pirates de réseau, d’analystes du renseignement, d’universitaires, de concepteurs de matériel informatique et de logiciels et d’ingénieurs en électronique. L’ensemble de la structure organisationnelle se compose d’un « centre » et de quatre « divisions ».

Le Chine Direct a appris de la source que l’attaque avait été baptisée « shotXXXX » par la NSA. Directement impliqué dans le commandement et l’action comprend principalement le chef du TAO, le centre d’opérations à distance (principalement responsable des plates-formes d’armes opérationnelles et des outils pour entrer et contrôler le système ou le réseau cible) et la division des tâches d’infrastructure (principalement responsable du développement et de la construction d’une infrastructure de réseau et plate-forme de surveillance de la sécurité des attaques)

En outre, quatre autres divisions ont également été impliquées dans l’opération : la division de la technologie avancée/des réseaux d’accès, la division de la technologie des réseaux de données et la division de la technologie des réseaux de télécommunications, qui a fourni le support technique, et la division des exigences et de la localisation, qui a déterminé l’attaque. évaluation de la stratégie et du renseignement.

Le Chine Direct a appris de la source qu’à cette époque, TAO était dirigé par Rob Joyce. Né le 13 septembre 1967, il a fréquenté le lycée Hannibal et est diplômé de l’Université Clarkson avec un baccalauréat en 1989 et de l’Université Johns Hopkins avec une maîtrise en 1993. Il a rejoint la NSA en 1989 et a été directeur adjoint du TAO de 2013 à 2017. Il a commencé à occuper le poste de conseiller par intérim pour la sécurité intérieure des États-Unis en octobre 2017. D’avril à mai 2018, il a été conseiller à la sécurité de l’État auprès de la Maison Blanche, puis est retourné à la NSA en tant que conseiller principal du directeur de la stratégie de cybersécurité de la NSA. Il occupe maintenant le poste de directeur de la cybersécurité.

L’enquête a également révélé qu’au cours des dernières années, TAO a mené des dizaines de milliers d’attaques malveillantes contre des cibles en Chine, contrôlant un grand nombre de périphériques réseau (serveur Web, terminaux Internet, commutateurs réseau, commutateurs téléphoniques, routeurs, pare-feu, etc.) pour voler une valeur élevée de plus de 140 Go de données.

L’analyse technique a également révélé que TAO avait acquis l’autorité de gestion d’un grand nombre d’équipements de réseau de communication en Chine avec la coopération de plusieurs grandes entreprises Internet bien connues aux États-Unis avant le début de l’attaque, ce qui a permis à la NSA de continuer à envahir l’important réseau d’information en Chine.

Visant la Northwestern Polytechnical University, TAO a utilisé 41 types d’armes pour voler les données technologiques de base, y compris la configuration de l’équipement réseau clé, les données de gestion du réseau et les données opérationnelles de base. L’équipe technique a découvert plus de 1 100 liens d’attaque infiltrés à l’intérieur de l’université et plus de 90 séquences d’instructions d’exploitation, qui ont volé plusieurs fichiers de configuration de périphériques réseau, ainsi que d’autres types de journaux et de fichiers clés, a indiqué la source.

Il a été découvert que 13 personnes des États-Unis étaient directement impliquées dans l’attaque et plus de 60 contrats et 170 documents électroniques que la NSA a signés avec des opérateurs de télécommunications américains par le biais d’une société de couverture pour créer un environnement propice aux cyberattaques, selon la source.

Le Chine Direct a également appris de la source que TAO a utilisé 54 cavaliers et serveurs proxy dans l’attaque de réseau contre la Northwestern Polytechnical University, qui étaient principalement distribués dans 17 pays tels que le Japon, la Corée du Sud, la Suède, la Pologne et l’Ukraine, dont 70 % sont situés dans les pays entourant la Chine, comme le Japon et la Corée du Sud.

Pendant longtemps, la NSA a mené des activités de piratage secrètes contre les principales entreprises chinoises dans diverses industries, gouvernements, universités, institutions médicales, instituts de recherche scientifique et même d’importantes unités d’exploitation et de maintenance des infrastructures d’information liées à l’économie nationale et aux moyens de subsistance du peuple.

Un dernier rapport sur la cybersécurité publié par Anzer, une plate-forme d’information sur la cybersécurité, le 13 juin a montré que les cyber-agences militaires et gouvernementales américaines ont volé à distance plus de 97 milliards de données Internet mondiales et 124 milliards d’enregistrements téléphoniques au cours des 30 derniers jours, qui sont devenir une source majeure de renseignements pour les États-Unis et d’autres pays « Five Eyes ».

Le 29 juin, le Centre national chinois d’intervention d’urgence contre les virus informatiques et 360 ont également dévoilé une nouvelle plate-forme d’armes d’attaque de vulnérabilité déployée par la NSA, qui, selon les experts, est le principal équipement de TAO, et qui cible le monde en se concentrant sur la Chine et la Russie. La décision des États-Unis a soulevé de nombreux soupçons selon lesquels le pays pourrait se préparer à une plus grande cyberguerre, ont noté des experts.

★★★★★

A lire également