S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par Jacques Duplessy

Les Ouïghours suivis à la trace

Une société de sécurité informatique a analysé la campagne de surveillance conduite par le gouvernement chinois

Ils ont pour nom SilkBean, DoubleAgent, CarbonSteal ou GoldenEagle. Ces outils de surveillance ont été intégrés dans près de 1600 applications destinées aux smartphones. Ils ciblent principalement les Ouïghours mais aussi les arabophones.

L'infrastructure

On peut toujours s’interroger sur les motivations profondes d’une entreprise de sécurité informatique qui pointe l’utilisation de logiciels espions par des Etats. Mais l’information n’en reste pas moins intéressante. Lookout, une entreprise spécialisée dans la sécurité des mobiles pour les entreprises et les particuliers, vient de révéler les outils de surveillance utilisés par le gouvernement chinois pour surveiller la minorité musulmane Ouïghour. Lookout s’était déjà fait remarquer pour avoir affirmé en août 2016 en partenariat avec Citizen Lab que le virus nommé Pegasus concocté par la firme israéliene NSO Group Technologies avait été utilisé pour attaquer le militant des droits de l'homme émirien Ahmed Mansoor.

Lookout a cette fois découvert quatre outils de surveillance utilisés par le gouvernement chinois depuis 2013. La surveillance de masse des Ouïghours a démarré en 2012. Si elle vise d’abord la population en Chine, Lookout a détecté des outils dans des téléphones en Turquie, en Egypte, en Allemagne, en Suède, mais aussi en France. Si la campagne vise massivement les téléphones sous Android, les outils peuvent aussi infecter des systèmes sous Mac OSX et Windows.

Malwares cachés dans des applications légitimes

La méthode pour infecter les téléphones mobiles est toujours la même : les malware sont cachés dans des applis que l’utilisateur va télécharger sur des stores parallèles. Quatre familles de malware (SilkBean, DoubleAgent, CarbonSteal et GoldenEagle) ont été repéré dans 1600 applications.

Les différents malwares - Lookout
Les différents malwares - Lookout

SilkBean a été découvert en 2019. Elle est notamment cachée dans l’application clavier avec les lettres de l’alphabet ouïghour ou encore des Apps de news (Syria News) ou des plugins de navigateur à destination des populations arabophones. Le malware permet d’exécuter à distance 70 commandes sur le téléphone depuis un serveur de Command & Control : accéder à la frappe sur le clavier, prise de contrôle de l’appareil photo, du micro.

Une première version de DoubleAgent a été découverte en 2013, une seconde en 2019. Cachée des applications pseudo-pédagogiques destinées aux jeunes et aux ados, elle ciblait les conversations sur les applications de messagerie instantanée. Le malware visait plusieurs pays dont la France, via francedu-online.com, domaine destiné sans doute à recevoir les données des utilisateurs dans le pays de ces applications.

Découvert en 2017, CarbonSteal a pour but l’exfiltration de données SMS et messagerie instantanée. Pour ce malware, les commandes sont envoyées par SMS et les données sont récupérées par le même canal.

GoldenEagle date lui de 2012. Une version test avait été repérée dès 2011. Les experts ont constatés une convergence avec l’infrastructure de CarbonSteal. Ce malware, dont la dernière version date de 2020, envoie les données par courriel. Le composant malveillant a été intégré dans plusieurs centaines d’applications, dont Twitter, Facebook ou VLC. A chaque fois, ces applications sont repackagées avec le malware et mis à disposition dans des stores alternatifs. Lookout a constaté une recrudescence de la fréquence de GoldenEagle en 2020. « Nous supposons qu’ils ont profité d’applications autour du Covid pour infecter des téléphones », explique Bastien Bobe, expert en sécurité mobile chez Lookout.

La question de l’attribution au gouvernement chinois

Il est souvent difficile d’attribuer une attaque informatique. Il y a bien sûr la question classique : à qui profite le crime ? Mais Lookout dit avoir réussi à attribuer cette campagne de surveillance de masse grâce à des preuves techniques. La société raconte avoir constaté que les quatre familles de malware utilisait la même infrastructure de command & control ou ayant un C&C partagé par le groupe de hackers chinois APT15. Lookout a réussi à faire le lien entre le groupe de pirates APT15 et un sous traitant de la défense Chinoise Xi’an Tianhe Defense Technology. « Cela nous a pris près de deux ans d’investigation, raconte Bastien Bobe, mais désormais le lien avec le gouvernement chinois est certain. Et vu l’ampleur de l’opération de surveillance, ça ne tient pas de dire que le gouvernement cherche à surveiller des terroristes. On est clairement sur une surveillance de masse. »

3 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée