Depuis sept ans, des pirates sont parvenus à s'introduire dans les réseaux d'une dizaine d'opérateurs de téléphonie. Un vrai travail d'espion pour suivre à la trace certains abonnés via les données de géolocalisation, mais aussi l'heure et la date des appels passés, tout en téléchargeant tout le contenu d'un smartphone.


au sommaire


    Des chercheurs de l'entreprise de cybersécurité Cybereason ont publié dans un billet des détails sur une affaire de piratage à grande échelle. L'équipe a découvert une attaque avancée et persistante qui cible des opérateurs de télécommunications et qui sévit depuis des années. Le groupe de hackers aurait réussi à infiltrer plus de dix réseaux de téléphonie mobile à travers le globe afin de collecter les statistiques d'appel sur au moins 20 individus.

    Les opérateurs n'enregistrent pas le contenu des communications, mais les pirates ont pu obtenir d'autres données précieuses, comme la date et l'heure des appels passés avec le mobile, ainsi que sa localisation afin de pister les individus ciblés. À titre d'exemple, la NSA, l'agence de sécurité américaine, est notoire pour sa collecte de statistiques d'appels depuis les opérateurs américains, malgré la légalité douteuse de l'opération.

    Une faille dans un serveur web suffit pour démarrer l’attaque

    Le piratage a pris la forme de vaguesvagues d'attaques, les assaillants abandonnant temporairement leur cible lorsque l'infiltration a été détectée, pour revenir plus tard avec de nouveaux outils et de nouvelles techniques plus avancées. Ils sont parvenus à pénétrer dans le réseau d'un des opérateurs grâce à une faille sur un serveur web. Le groupe a ensuite volé les identifiants du serveur pour obtenir un accès à une autre machine du réseau, répétant cette opération plusieurs fois jusqu'à compromettre le contrôleur de domaine et obtenir accès au réseau entier.

    Les pirates ont pu ainsi suivre l'activité de la victime sans avoir à installer de malware sur son smartphone et sans qu'elle ait pu savoir qu'on la pistait. Une fois qu'ils ont pris le contrôle du réseau, ils ont pu télécharger les données de la victime qui couvrent des périodes de plusieurs semaines ou des mois, totalisant plusieurs centaines de gigaoctets, puis se déconnecter du système sans laisser de traces. Une fois, ils ont même installé un réseau privé virtuel (VPN) sur un serveur compromis afin de pouvoir se connecter au réseau à leur guise, sans tout reprendre à zéro à chaque fois.

    À distance, les pirates lancent des commandes pour d'abord compresser les données puis les extraire. © Cybereason
    À distance, les pirates lancent des commandes pour d'abord compresser les données puis les extraire. © Cybereason

    Une attaque affiliée à un État

    Selon les chercheurs, les outils, tactiques, techniques et procédures sont caractéristiques du groupe chinois ATP10, mais ils ne savent pas s'il s'agit effectivement d'une attaque d'origine chinoise ou si c'est un autre groupe qui souhaite leur faire porter le chapeau. Ils sont néanmoins convaincus qu'il s'agit d'un groupe affilié à un État.

    Les chercheurs de Cybereason n'ont pas souhaité identifier les individus ciblés, ni donner le nom des réseaux compromis. Ils ont toutefois précisé qu'ils n'ont pas détecté d'intrusion dans les réseaux des opérateurs mobiles américains, mais que la situation continue d'évoluer. Il est donc possible qu'un ou plusieurs opérateurs français aient été victimes des pirates.