Photo : PCP
Une arme « dissimulée et adaptable » utilisée par le centre de renseignement américain National Security Agency (NSA) pour lancer une cyberattaque sur le système de messagerie de l’Université polytechnique du Nord-Ouest dans la province du Shaanxi (nord-ouest de la Chine) – bien connue pour ses études sur l’aviation, l’aérospatiale et la navigation – a été capturé par des experts chinois en cybersécurité, a appris mardi le Chine Direct d’une source.
Le 5 septembre, une équipe technique chinoise a annoncé qu’en extrayant de nombreux échantillons de chevaux de Troie des terminaux Internet de la Northwestern Polytechnical University, avec le soutien de partenaires européens et sud-asiatiques, elle avait initialement identifié que la cyberattaque contre l’université avait été menée par les opérations d’accès sur mesure ( TAO) (Code S32) sous le Bureau de reconnaissance des données (Code S3) du Département de l’information (Code S) de la NSA des États-Unis.
Visant la Northwestern Polytechnical University, TAO a utilisé 41 types d’armes pour voler les données technologiques de base, y compris la configuration de l’équipement réseau clé, les données de gestion du réseau et les données opérationnelles de base. L’équipe technique a découvert que plus de 1 100 liens d’attaque s’étaient infiltrés à l’intérieur de l’université et plus de 90 séquences d’instructions d’exploitation, qui ont volé plusieurs fichiers de configuration de périphériques réseau, ainsi que d’autres types de journaux et de fichiers clés, a déclaré l’équipe.
Une analyse plus approfondie menée par le Centre national chinois d’intervention d’urgence contre les virus informatiques et le laboratoire Qi An Pangu basé à Pékin a montré que l’arme de cyber-renifleur, connue sous le nom de « boire du thé », est l’un des coupables les plus directs responsables du vol de grandes quantités de données sensibles.
Un expert en cybersécurité du laboratoire a déclaré mardi au Chine Direct que TAO a utilisé « boire du thé » comme outil pour détecter des secrets, l’a implanté dans le serveur de réseau interne de la Northwestern Polytechnical University et a volé le mot de passe de connexion de la gestion à distance et du transfert de fichiers à distance. services, tels que SSH, afin d’accéder aux serveurs sur l’intranet, et à d’autres serveurs de grande valeur, entraînant le vol de données sensibles persistantes à grande échelle.
« Boire du thé » peut non seulement voler des comptes et des mots de passe pour le transfert de fichiers à distance, mais est également très capable de dissimulation et de s’adapter à un nouvel environnement. Selon l’expert anonyme, après avoir été implanté dans le serveur et l’équipement cibles, « boire du thé » se déguisera en un processus de service d’arrière-plan normal et enverra une charge malveillante étape par étape, ce qui le rendra très difficile à trouver.
« Boire du thé » peut s’exécuter furtivement sur le serveur, surveiller en temps réel l’entrée de l’utilisateur sur le programme terminal de la console du système d’exploitation et intercepter toutes sortes de noms d’utilisateur et de mots de passe, tout comme le « peeper » derrière l’utilisateur.
« Une fois que ces noms d’utilisateur et mots de passe sont obtenus par TAO, ils peuvent être utilisés pour effectuer la prochaine étape de l’attaque pour aider le bureau à voler des fichiers sur les serveurs ou à livrer d’autres cyber-armes », a déclaré l’expert en cybersécurité.
En février, des experts du laboratoire Qi An Pangu ont déclaré au Chine Direct qu’ils avaient découvert un groupe de hackers de premier plan sous la NSA américaine, qui utilise une cyber-arme « Telescreen » depuis plus d’une décennie, infiltrant 45 pays et régions, dont la Chine, la Russie, le Japon, l’Allemagne, l’Espagne et l’Italie, et impliquant 287 cibles institutionnelles importantes.
« Telescreen » a également été utilisé avec « boire du thé » pour lancer l’attaque contre le système de messagerie de la Northwestern Polytechnical University, a indiqué la source.
Selon la source, des experts chinois ont également trouvé des traces d’attaque « buvant du thé » dans le réseau d’autres institutions, ce qui montre que l’arme a probablement été utilisée par TAO pour lancer une cyberattaque à grande échelle contre la Chine.
En dehors de cela, un rapport de recherche, intitulé « American Dragnet : Data-driven Deportation in the 21st Century », qui a été publié par le Center on Privacy and Technology Law de l’université américaine de Georgetown en mai, a montré qu’après deux ans d’enquête, le centre a constaté que Au nom du contre-terrorisme, l’Immigration and Customs Enforcement (ICE) des États-Unis a repoussé les limites éthiques et juridiques pour créer un filet de surveillance qui couvre la plupart des Américains en contournant la surveillance du Congrès et les lois sur la protection de la vie privée.
Cela signifie que l’accès illimité du gouvernement américain à la surveillance des données s’est étendu des services d’application de la loi « réguliers » tels que la NSA, la Central Intelligence Agency, le Federal Bureau of Investigation ou le département de police aux agences administratives comme l’ICE.
Le porte-parole du ministère chinois des Affaires étrangères, Mao Ning, a exhorté les États-Unis à cesser immédiatement leurs actes répréhensibles, affirmant que la sécurité du cyberespace est un problème commun affectant tous les pays du monde.
La Chine a demandé aux États-Unis par le biais de plusieurs canaux d’expliquer la cyberattaque malveillante et de mettre immédiatement fin au comportement illégal, mais jusqu’à présent, nous n’avons reçu aucune réponse substantielle des États-Unis, a déclaré Mao.
« Je tiens à souligner que ce que les États-Unis ont fait a gravement enfreint les secrets techniques des institutions chinoises concernées et gravement compromis la sécurité des infrastructures critiques de la Chine, ainsi que des informations institutionnelles et personnelles. Les États-Unis doivent cesser immédiatement et donner une explication responsable », a-t-il ajouté. dit Mao.
