Des hackers chinois ont pillé l’industrie des semi-conducteurs de Taiwan

Le plus remarquable de ces nouveaux indices provient peut-être du piratage des hackers. Les chercheurs de CyCraft ont observé le groupe Chimera exfiltrant des données du réseau d’une victime et ont pu intercepter un jeton d’authentification de leurs communications vers un serveur de commande et de contrôle. En utilisant ce même jeton, les analystes de CyCraft ont pu parcourir le contenu du serveur cloud, qui comprenait ce qu’ils décrivent comme une «feuille de triche» pour les pirates, décrivant leur procédure de fonctionnement standard pour les intrusions typiques. Ce document était notamment rédigé en caractères chinois simplifiés, utilisés en Chine continentale mais pas à Taiwan.

Les pirates semblaient également opérer en grande partie dans le fuseau horaire de Pékin, suivre un horaire de travail «996» – le régime de 9h à 21h, six jours par semaine, courant dans l’industrie technologique chinoise – et décoller les vacances en Chine continentale. Enfin, CyCraft affirme avoir appris de sa coopération avec les agences de renseignement taïwanaises et étrangères qu’un groupe de hackers utilisant des techniques similaires ciblait également les agences gouvernementales taïwanaises.

Le plus particulièrement révélateur, cependant, a été la présence d’un programme de porte dérobée sur les réseaux de plusieurs victimes qui, selon CyCraft, était auparavant utilisé par le groupe Winnti, une grande collection de pirates informatiques qui opèrent depuis plus d’une décennie et dont on pense généralement qu’ils sont basés dans Chine continentale. Ces dernières années, Winnti est devenu connu pour avoir mené à bien un mélange de piratage sponsorisé par l’État aligné avec les intérêts de la Chine et de piratage criminel à but lucratif, ciblant souvent les entreprises de jeux vidéo. En 2015, Symantec a constaté que Winnti semblait également utiliser des attaques par injection de clé squelette comme le genre de CyCraft trouvé utilisé contre les entreprises taïwanaises de semi-conducteurs. (CyCraft note qu’il n’est toujours pas certain que Chimera soit en fait Winnti, mais considère que c’est une possibilité probable.)

Kaspersky, qui repéré et nommé pour la première fois le groupe Winnti dans une enquête publiée en 2013, l’année dernière a lié le groupe à une attaque qui détourné le mécanisme de mise à jour des ordinateurs vendus par Asus basé à Taiwan. Costin Raiu, directeur de l’équipe mondiale de recherche et d’analyse de Kaspersky, affirme que Winnti est responsable d’autres attaques contre un large éventail d’entreprises taïwanaises au-delà des fabricants de semi-conducteurs sur lesquels CyCraft s’est concentré, des télécommunications aux entreprises technologiques.

« Il est possible que ce qu’ils voient ne soit qu’un petit fragment d’une image plus grande », dit Raiu. Winnti n’est pas unique parmi les groupes liés à la Chine dans leur ciblage généralisé de Taiwan, ajoute Raiu. Mais il dit que les tactiques innovantes de Winnti, comme le détournement des mises à jour logicielles d’Asus, les distinguent.

Même au milieu du piratage en gros par la Chine de son voisin insulaire, cependant, Duffy de CyCraft fait valoir que l’industrie des semi-conducteurs représente une cible particulièrement dangereuse. Le vol de schémas de puces, souligne-t-il, pourrait potentiellement permettre aux pirates chinois de déterrer plus facilement les vulnérabilités cachées dans le matériel informatique. «Si vous avez une compréhension très approfondie de ces puces à un niveau schématique, vous pouvez exécuter toutes sortes d’attaques simulées sur elles et trouver des vulnérabilités avant même qu’elles ne soient libérées», explique Duffy. « Au moment où les appareils arrivent sur le marché, ils sont déjà compromis. »

CyCraft admet qu’il ne peut pas déterminer ce que les pirates informatiques font avec les documents et le code de conception de puce volés. Et la motivation la plus probable de la campagne de piratage est simplement de donner aux fabricants chinois de semi-conducteurs une longueur d’avance sur leurs rivaux. «C’est une façon de paralyser une partie de l’économie taïwanaise, de nuire à leur viabilité à long terme», dit Duffy. «Si vous regardez la portée de cette attaque, à peu près l’ensemble du secteur, tout au long de la chaîne d’approvisionnement, il semble qu’il s’agisse d’essayer de modifier la relation de pouvoir. Si toute la propriété intellectuelle est entre les mains de la Chine, elle a beaucoup plus de puissance. « 

Correction du 07/08/2020 à 10h30 EST: Cette histoire a été mise à jour pour expliquer plus précisément la technique d’injection de clé squelette.