L’éditeur de solutions de sécurité pour les appareils mobiles dénonce les outils présumés mis en place par le gouvernement chinois pour traquer les ressortissants Ouïgours.
L’éditeur avait déjà évoqué ces outils en février dernier mais se refusait à rendre publique son étude car il ne pouvait à ce moment là véritablement attribuer au gouvernement chinois différents outils dédiés au « tracking » des ouïgours. En continuant son étude, l’éditeur a trouvé assez d’éléments concordants pour attribuer la responsabilité de ce suivi massif de la population ouïgours.
Une campagne globale
Si le suivi est général en Chine, il dépasse les frontières de ce pays et des éléments de suivi ont été notés en Turquie, en Egypte et dans notre pays. A destination des postes Android, IOS et peut être Windows, la campagne s’appuie sur 4 outils dont l’utilisation remonte à 2013 : SilkBean, DoubleAgent, Carbon Steal et Golden Eagle. Ces différents outils sont intégrés et présents dans près de 1600 applications en place sur les boutiques alternatives.
Des outils ciblés
SilkBean comporte des fonctions de keylogger et de chevaux de Troie pour des accès distants et permet, lorsqu’il est installé de réaliser plus de 70 commandes sur le téléphone ou le terminal infecté à partir du serveur de « Command and Control » (C&C). Son installation se réalise soit directement lors du téléchargement d’une application infecté par SilkBean ou lors d’une mise à jour d’une telle application. Dans le cas précis dont nous parlons, l’installation la plus fréquente s’est faite lors du choix par des Ouïgours d’installer un clavier pour écrire dans leur langue.
DoubleAgent cible les conversations sur les applications de messagerie instantanée. Il a été détecté pour la première fois en 2013 et a vu une nouvelle version en 2019. Ce logiciel utilise le même C&C que SilkBean et cible plusieurs pays dont la France par une application d’apprentissage de la langue Ouïgoure. En France, l’infection se réalise par Francedu-online.com.
Carbon Steal a été découvert par Lookout en 2017 et une étude de l’unité 42 a renforcé cette première analyse en mars 2018 démontrant de nouveaux C&C dont certains utilisés par le groupe APT 15 généralement attribué à un groupe espion chinois. Lookout a réussi à faire le lien entre le groupe de pirate APT15 et un sous-traitant de la défense Chinoise Xi’an Tianhe Defense Technology. Cette entreprise est principalement engagée dans le développement, la fabrication et la vente de systèmes de reconnaissance, de commandement et de contrôle et dans le commerce des technologies connexes. La société a quatre catégories de produits. Les produits de défense aérienne de zone incluent des systèmes portables de commandement de missiles de défense aérienne, des systèmes intelligents de communication de terrain et des radars de guidage de cible, entre autres.
Les systèmes de l'aviation générale comprennent, entre autres, les systèmes d'assurance des services de vol et les radars de surveillance au sol des aéroports. Les produits de protection de sécurité comprennent, entre autres, les véhicules d'inspection aux frontières et les radars. Les produits de détection marine comprennent, entre autres, les clôtures acoustiques, les systèmes sonar et les systèmes de reconnaissance sous-marine. L’outil exfiltre des données par SMS et de messageries instantanées. Son installation se réalise par un SMS.
Golden Eagle, apparu en 2011, et découvert pat Lookout en 2012, est présent dans de très nombreuses applications (plusieurs centaines selon l’éditeur). Une dernière version était très active en Avril dernier. Il exfiltre les données par connexion SMTP. Lookout démontre dans son étude des convergences avec le C&C de Carbon Steal.
Une attribution par partage de l’infrastructure
L’attribution de ces opérations provient du partage de l’infrastructure sous-jacente et des C&C déjà exposées publiquement comme PhantomPlugin, HenBox, ou DarthPusher. Ce dernier est un faux adware qui embarquait un cheval de Troie (PhoneGuardService) et SMSReg qui collectionne des données du téléphone, le plus souvent dans des applications se présentant comme prolongeant la durée de vie des batteries. Ce dernier est plutôt classé comme un riskware plus que comme un malware.