Archives par mot-clé : cyberespionnage

Cybersécurité, Entreprise, Fuite de données

Le casse des capteurs militaires au cœur de la Silicon Valley

Un ingénieur modèle, deux passeports, et un sacré culot. À la clef : un braquage discret mais colossal de secrets militaires américains, orchestré depuis un banal bureau californien.

Un ingénieur à double nationalité, passé par Stanford et la Silicon Valley, a orchestré le vol de plus de 3 600 fichiers confidentiels sur des capteurs et caméras militaires de pointe, destinés à protéger les avions contre les missiles et à surveiller l’espace. Recruté par des programmes chinois visant à rapatrier l’innovation, il a exploité les failles internes de son employeur américain avant d’être démasqué par une enquête numérique. Retour sur un crime aux répercussions internationales, révélateur des enjeux de la guerre technologique et du pillage de la propriété intellectuelle, où un seul individu a mis en péril la sécurité nationale.

Un voleur aux deux passeports : le profil d’un ingénieur discret

Chengguan Gong, 59 ans, incarne la réussite de l’immigration dans la Silicon Valley. Entré aux États-Unis en 1993, formé à Clemson puis à Stanford, il devient citoyen américain en 2011 – tout en conservant sa nationalité chinoise. C’est un spécialiste reconnu des capteurs CMOS et des technologies sensibles, courtisé par des entreprises du secteur militaire.

Derrière cette success story, une ambition plus trouble émerge : dès 2014, Gong commence à postuler aux « programmes de rapatriement de talents » chinois, ces concours subventionnés à coup de centaines de milliers de dollars, destinés à drainer vers Pékin compétences… et secrets industriels.

Entre fin mars et avril 2023, Gong opère à la vitesse de l’éclair. Il copie méthodiquement plus de 3 600 fichiers – plans, schémas, documentation technique – de son poste de travail vers un simple clé USB et deux disques durs. Le timing n’a rien d’anodin : le 5 avril, il signe chez un concurrent direct dans le domaine des capteurs infrarouges. Il intensifie alors les copies, double les sauvegardes sur son ordinateur personnel, et prépare sa fuite numérique.

Son butin ? Des technologies critiques : capteurs capables de protéger des avions contre les missiles à guidage thermique, caméras résistant aux radiations pour l’observation spatiale, et circuits intégrés conçus pour repérer les lancements de missiles et d’objets hypersoniques. Le tout estimé à plusieurs centaines de millions de dollars par la société lésée.

L’affaire Gong révèle un angle mort inquiétant : la porosité entre recherche militaire américaine et programmes étatiques chinois. Entre 2014 et 2022, Gong multiplie les candidatures aux “talent programs” chinois, propose les mêmes technologies que celles développées dans ses fonctions américaines, et finit même demi-finaliste d’un concours… en présentant des photos du matériel de son entreprise.

Ce système de chasse aux cerveaux, installé dès les années 1990 en Chine, offre primes et financements massifs aux ingénieurs expatriés prêts à ramener “leur” expertise. Pour Gong, la récompense : près de 2 800 dollars pour une simple participation, et la promesse de sommes bien plus importantes à la clef.

Les failles internes et la riposte numérique

Gong pensait son stratagème à l’abri derrière la routine du télétravail et un départ “pour raisons familiales”. Mais les équipes IT de son employeur veillent au grain. En mars, un audit interne met au jour des mouvements de fichiers anormaux. L’alerte est donnée, le FBI entre en scène, commence sa surveillance, saisit les supports physiques et découvre l’ampleur de la fuite.

Les preuves sont accablantes. Gong reconnaît les faits, expliquant avoir commencé à copier des documents dès son arrivée aux États-Unis – preuve d’un projet de longue haleine plus qu’un simple “coup d’opportunité”. Accusé d’avoir mis en péril la sécurité nationale, il encourt jusqu’à dix ans de prison.

Analyse : le crime d’un homme seul ou le symptôme d’une guerre invisible ?

Au-delà de l’affaire, c’est tout l’écosystème de la recherche technologique qui tremble. Une simple négligence interne, un employé sous le radar, et la propriété intellectuelle la plus sensible se retrouve potentiellement à disposition d’États concurrents. L’affaire Gong rappelle que la guerre de l’innovation ne se joue plus seulement dans les laboratoires, mais aussi dans les back-offices des entreprises les plus prestigieuses.

La conclusion s’impose : à l’heure de la guerre économique mondiale, la vigilance doit être maximale, la cybersécurité renforcée, et la protection du “capital humain” aussi stratégique que celle des data centers.

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

SneakyPastes : une opération basique mais efficace du cybergang Gaza frappe des cibles liées au Moyen-Orient dans 39 pays

En 2018, le cybergang Gaza, dont nous savons désormais qu’il comprend plusieurs groupes plus ou moins sophistiqués, a lancé une opération de cyberespionnage ciblant des personnes et des institutions ayant un intérêt politique en lien avec le Moyen-Orient. La campagne, nommée SneakyPastes, utilisent des adresses e-mail jetables pour propager l’infection par phishing, avant de télécharger le malware par étapes successives depuis divers sites gratuits. Cette méthode peu coûteuse mais efficace a permis au groupe de frapper environ 240 victimes d’envergure dans 39 pays à travers le monde, notamment des responsables politiques, des diplomates, des activistes ou des médias.

Le cybergang Gaza est un collectif arabophone à motivations politiques, rassemblant des groupes malveillants étroitement liés qui ciblent activement le Moyen-Orient et l’Afrique du Nord, en particulier les Territoires palestiniens. Kaspersky Lab a identifié au moins trois de ces groupes ayant des objectifs et des cibles similaires – pour du cyberespionnage lié à des intérêts politiques dans la région – mais présentant des outils, techniques et niveaux de sophistication très différents. Il existe cependant des éléments communs à chacun d’entre eux.

Le cybergang Gaza

Parmi ces groupes, les plus avancés sont Operation Parliament et Desert Falcons, identifiés respectivement depuis 2018 et 2015, aux côtés d’un groupe sous-jacent moins complexe, également connu sous le nom de MoleRats, actif depuis au moins 2012. Au printemps 2018, ce groupe de base a lancé l’opération SneakyPastes.

SneakyPastes a commencé par des attaques de phishing autour de thèmes politiques, propagées à l’aide d’adresses e-mail et de domaines « jetables » (à usage unique). Les liens ou fichiers joints malveillants sur lesquels les destinataires cliquaient ou où qu’ils téléchargeaient installaient ensuite l’infection sur leur machine.

SneakyPastes

Afin d’échapper aux systèmes de détection et de masquer la localisation du serveur de commande et de contrôle (C&C), un malware supplémentaire était téléchargé sur les machines des victimes par étapes successives depuis divers sites gratuits, notamment Pastebin et Github. Les différents implants malveillants utilisaient PowerShell, VBS, JS et dotnet pour assurer leur résilience et leur persistance à l’intérieur des systèmes infectés. La dernière étape de l’intrusion était un cheval de Troie à accès distant (RAT), qui contactait le serveur C&C puis collectait, compressait, cryptait et transférait vers celui-ci un large éventail de documents volés (tableaux de chiffres, par exemple). L’opération SneakyPastes tire son nom de l’utilisation massive, par les auteurs de l’attaque, de sites de collage (paste) pour infiltrer progressivement le RAT dans les systèmes des victimes.

Les chercheurs ont collaboré avec les autorités afin de mettre au jour le cycle complet d’attaque et d’intrusion de l’opération SneakyPastes. Ces efforts ont permis d’aboutir, non seulement à une connaissance détaillée des outils, techniques, cibles, etc., mais aussi au démantèlement effectif d’une grande partie de l’infrastructure.

Territoires palestiniens, en Jordanie, en Israël et au Liban

L’opération SneakyPastes a connu son pic d’activité entre avril et mi-novembre 2018, se concentrant sur une liste restreinte de cibles constituées d’entités diplomatiques et gouvernementales, d’ONG et de médias. D’après les données télémétriques, il semble exister environ 240 victimes d’envergure – individus ou institutions – dans 39 pays à travers le monde, dont la majorité se trouve dans les Territoires palestiniens, en Jordanie, en Israël et au Liban. Il s’agit notamment d’ambassades, d’administrations, de médias et de journalistes, d’activistes, de partis politique ou de particuliers, ainsi que d’établissements dans les secteurs de l’éducation, de la banque et de la santé ou encore des organisations contractantes.

« La découverte de Desert Falcons en 2015 a marqué un tournant dans le paysage des menaces car il s’agissait alors de la première APT connue qui soit entièrement arabophone. Nous savons à présent que ses auteurs, le cybergang Gaza, ciblent activement des intérêts moyen-orientaux depuis 2012. Celui-ci s’appuyait au départ sur les activités d’une équipe assez peu sophistiquée mais acharnée, à l’origine de l’opération SneakyPastes en 2018. SneakyPastes montre que le manque d’infrastructures et d’outils avancés n’est pas un obstacle au succès. Nous nous attendons à voir les dommages causés par les trois groupes du cybergang Gaza s’intensifier et leurs attaques s’étendre à d’autres régions du monde qui sont également liées à la question palestinienne », commente Amin Hasbini, responsable du centre de recherche pour le Moyen-Orient au sein de l’équipe GReAT (Global Research & Analysis Team).