A quel point le front cyber sino-russe est-il uni ?
Dans le microcosme cyber nous avons deux poids lourds : d’un côté la force de l’ours Russe, et de l’autre la puissance de feu du dragon Chinois.
Chacun avec des atouts, différents certes, mais complémentaires. Si ces deux là s’associent que se passe-t-il ?
Déjà pourquoi penser cela ? Il n’y a jamais de fumée sans feu. Il semble évident que les cybers attaquants russophones recherchent des alliances en dehors de la Russie, en veut pour preuve, une analyse de Cybersixgill qui a révélé, que le darkweb russophone aurait ouvertement encouragé les acteurs cyber chinois à collaborer. Ils ont même ouvert leur plateforme en mandarin afin de faciliter la collaboration (cf le forum RAMP pour Ransom Anon Market Place). En réponse, les attaquants chinois sont de plus en plus actifs dans les espaces des cyberattaquants russes (en témoigne une enquête intéressante de Recorded future : https://www.recordedfuture.com/russian-chinese-hacking-communities)
Autres exemples, qui confortent cette idée de rapprochement :
– la Chine et la Russie ont renforcé leur cyber-présence en Amérique latine. Le Venezuela s’est rapproché de la Chine et de la Russie, dans le domaine de la cybersécurité. On parle d’ailleurs de cyber géopolitique.
-On peut mentionner également l’accord de coopération signé entre les deux nations, concernant leurs systèmes de positionnement par satellite, BeiDou et Glonass.
-En juillet 2021, la Chine et la Russie s’unissent afin de semer la désinformation sur des questions concernant ‘l’intégration, l’application des nouvelles technologies et la réglementation de l’industrie”.
Dans le cas de la pandémie par exemple,’ les responsables chinois et les médias ont repris les mensonges (les mêmes récits que les médias russes) et ont amplifié et développé le fil des biolabs.’
(https://theintercept.com/2022/12/30/russia-china-news-media-agreement/)
-Tout dernièrement, Vladimir Poutine a invité ‘son homologue chinois, Xi Jinping, à effectuer une visite d’État en Russie au printemps prochain, dans le but de faire progresser leur coopération dans les domaines de l’économie, du commerce, de l’énergie, de la finance et de l’agriculture’.
(https://www.theguardian.com/world/2022/dec/30/vladimir-putin-invites-xi-jinping-moscow-russia-alliance-china)
Alors même si il est vrai que la Chine désapprouve l’invasion en Ukraine, tout cela reste bien timide, Pékin n’interpelle pas ouvertement Moscou. Cette timidité va-t-elle se reproduire dans le milieu cyber ? Quels intérêts auraient ces deux nations ? et si la Chine accepte d’être courtisée par l’ours russe, qu’en sera-t-il des conséquences ?
I-Divergences et points communs
I.1-Leurs visions du renseignement
Du côté de Pékin
Les récentes actualités ont mis en évidence la tendance de l’Etat Chinois à faire appel à des cybercriminels indépendants. Les APT (menace persistante avancée) sont amenées à aider la puissance Chinoise notamment en matière de renseignement. Ils n’ont d’ailleurs pas hésité à mettre en place des campagnes de grandes envergures pour voler la propriété intellectuelle, ainsi que les secrets militaires et politiques à l’encontre des Etats Unis.
La culture du jiandi huodong est toujours belle et bien présente. L’espionnage fait partie inhérente de la tradition chinoise, il apparait à chaque étape de son histoire, des premières dynasties à nos jours. Qui n’a pas lu « L’Art de la guerre » de Sun Tzu ? L’ouvrage regorge d’anecdotes.
Les services de renseignement ont, par ailleurs renforcé leurs moyens financiers et technologiques, pour preuve, « on estime que la Chine est responsable de 50% à 80% de vols de propriété intellectuelle transfrontaliers dans le monde et de plus de 90% des cas de cyber espionnage économique aux États-Unis »( Zack Cooper, Understanding the Chinese Communist Party’s Approach to Cyber-Enabled Economic Warfare, Washington, FDD Press,2018)
Du côté de Moscou
On a coutume de dire que la Russie a l’expérience dans les opérations de renseignement. L’espionnage constitue l’ADN de la Russie couplée à des opérations d’influence. Ils parlent aussi de информационная война dit plus simplement…ou pas ’informatsionnaya voyna’ ou guerre de l’information et ce, depuis des années.
Si l’espionnage en Russie fait partie de l’histoire du pays, il va s’intensifier avec l’arrivée de Vladimir Poutine (ancien du KGB) au pouvoir. Les services de renseignement russes ont connu ces derniers temps un regain d’activité. Il ne fait aucun secret que Paris même serait le terrain de jeu des services de renseignements. (à lire : Le point-La france nid d’espions. 2021)
L’espionnage russe est une réalité. Régulièrement, la presse se fait l’écho d’affaires d’espionnage. Un Allemand accusé d’avoir transmis des données sur la Chambre des députés à la Russie. Un officier italien fournissant des documents militaires concernant l’Italie, Vladislav Klyushin, PDG de la société MT-13, est accusé entres autres d’intrusion illégale dans des systèmes informatiques.
(Voici d’autres faits d’armes : “L’acte d’accusation d’Ionov révèle une stratégie d’ingérence électorale en Russie: https://news.clearancejobs.com/2022/07/29/ionov-indictment-reveals-russia-election-interference-strategy/”- “les pays expulsent les agents de renseignement russes: https://news.clearancejobs.com/2022/04/01/giving-russia-the-boot-countries-kicking-out-russian-intelligence-officers/”)
…les exemples ne manquent pas, même si Moscou dénonce ces accusations d’infondées, l’OTAN en réaction, a pourtant décidé de retirer en 2021 des accréditations de huit émissaires russes.
Le cyber espionnage joue un rôle central dans la stratégie Russe. Ils sont à l’affut de toutes sortes d’informations, des activités militaires, des projets, des organigrammes, des recrutements, mais aussi économiques, ou politiques (exemple l’ingérence dans l’élection américaine en 2016)
Ainsi, la Chine a certes les outils, mais la Russie a elle, la méthode. Les deux pays ont intérêt à mettre en commun leurs atouts dans le cyber espace.
I.2-Du point de vue des méthodes
Les acteurs cyber russes vont être extrêmement agressifs et furtifs. L’intimidation et la dissuasion constituent, selon toute apparence la méthode privilégiée des attaquants russes.
La Russie déploie des cyberattaques souvent combinées à d’autres techniques de guerre hybrides ou politiques, telles que des campagnes de désinformation et des actions civiles dans les pays ciblés.
Les acteurs chinois, eux, seront plus discrets, ils prendront le temps de s’infiltrer dans les réseaux, de bien travailler leur ingénierie sociale, et favoriseront une menace dite « silencieuse »
La particularité des campagnes d’espionnage c’est qu’elles peuvent être longues et lentes. L’objectif des cybers criminels chinois étant de se maintenir aussi longtemps que possible dans l’antre d’une organisation. Ils savent ce qu’ils cherchent et vont se faire très discret. Cependant l’accès à certains systèmes peut nécessiter une reconnaissance et des recherches approfondies, voire un accès physique. Ces campagnes vont donc demander beaucoup de patience, d’énergie aux attaquants qui n’en manquent pas. Il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’espionnage. (exemple du cas de APT41)
L’adversaire change régulièrement les outils déployés, de plus ils peuvent avoir recours à des acteurs tiers pour mener des opérations, pour ces raisons les attaques sont très difficilement détectables. L’attribution devient très compliquée et les attaques restent ainsi sous les radars.
En termes de processus, globalement il reste le même, à savoir la phase de reconnaissance, prise de renseignement sur la cible, puis obtention des comptes à privilège (ils vont ainsi pouvoir s’infiltrer sans être détectés et entrer ensuite en contact avec des employés en se faisant passer pour l’un de leur collègue) et identifiants, puis déplacement latéral et enfin accès aux données.
Ainsi la Chine est en train de constituer une bibliothèque de données gigantesques, et se donne les moyens pour réussir. Ils sont extrêmement créatifs et innovants.
I.3-Du point de vue des objectifs
Outre leur divergence, ils ont en commun leur opposition à l’hégémonie américaine. Les deux lancent des cyber-opérations généralisées qui menacent les intérêts américains, cependant, la Russie a toujours un objectif militaire, tandis que la Chine a un objectif plus économique. Cette derniere a, en effet, une volonté de poursuivre et de maintenir un leadership sur tout ce qui concerne les technologies émergentes et fondamentales telles que l’intelligence artificielle et les semi-conducteurs. (cf le projet « made in china 2025 » : https://www.cfr.org/backgrounder/made-china-2025-threat-global-trade)
Au niveau technologique la Russie a un point de vue beaucoup moins élaboré.
Les acteurs Russes sont jusqu’ici plus individualistes que leurs homologues chinois, et ciblent préférentiellement les Etats unis et évidemment l’Ukraine, la sécurité nationale, les infrastructures critiques et cherchent en priorité la déstabilisation, la perturbation. L’objectif étant d’affaiblir l’ennemi ou de dégrader ses capacités.
On a pu le constater notamment dans le cas de l’attaque Notpetya qui s’est répandue dans le monde entier, détruisant les systèmes informatiques de milliers d’entreprises ou encore de l’attaque de Colonial Pipeline attribuée à Darkside soupçonné d’être un groupe Russe…
Bien sûr, il n’est pas question d’ignorer le facteur aggravant voire déclenchant qu’est l’appât du gain.
Leur priorité historique reste la suprématie militaire donc, quand, pour la république populaire de Chine, la priorité reste l’aspect économique, en veut pour preuve ses nombreuses attaques liées à l’espionnage industriel. Pour cela elle va plutôt cibler les utilisateurs finaux afin de collecter le plus de données privées possibles. Elle cible préférentiellement les personnes ayant des accès privilégiés, des postes stratégiques etc.
(“Un officier du renseignement chinois écope d’une peine de prison pour espionnage: https://news.clearancejobs.com/2022/11/17/jury-finds-chinese-intelligence-officer-guilty-of-economic-espionage/”- “Le Royaume-Uni émet une alerte de menace indiquant que la Chine recrute activement des pilotes militaires occidentaux: https://news.clearancejobs.com/2022/10/18/uk-issues-threat-alert-that-china-is-actively-recruiting-western-military-pilots/”-“l’opération Fox Hunt: https://news.clearancejobs.com/2021/07/23/china-brings-operatives-to-u-s-soil-with-operation-fox-hunt/”)
Pour résumer (même si il y a toujours quelques exceptions) la menace chinoise est à plus long terme, quand la menace russe est plus immédiate.
II-Front sino-Russe : une complémentarité
Chacun va ainsi pouvoir s’apporter mutuellement:
En nombre :
En effet la Chine représente 1.3 milliard d’internautes, cela représente un formidable vivier de potentiel futurs cyber délinquants.
Des données
Pékin pourra également apporter son énorme portefeuille de données.
Le président chinois n’a pas caché son souhait d’accélérer sa puissance cyber, afin de poursuivre sa stratégie d’influence. (à lire: La cyber puissance chinoise. Illusion ou réalité. EGE. Juin 2022)
Défier les lois
La Russie apportera, elle, sa liberté d’action; en effet l’Etat laisse libre toutes actions cyber, il n’y a pas de sanction, et les cyber délinquants le savent bien. Les autorités ferment les yeux sur les gangs cybercriminels. (malgre quelques arrestations, notamment la spectaculaire concernant le groupe REvil). La Chine à l’inverse, devra être plus discrète, plus stratège pour ne pas froisser la communauté internationale et garder une image plus lisse.
A noter également que les attaquants russes ont la possibilité de se faire payer en cryptomonnaie, quand la republique populaire de Chine a mis son veto.
Enfin, accéder au darkweb par exemple en Chine est très complexe, en s’associant à certains cybercriminels chinois, ils pourraient trouver là, un moyen de contourner les blocages de Tor sans être détectés, l’appuie de la Russie serait un plus. Warontherock confirme d’ailleurs ces propos : « La Chine et la Russie ont travaillé ensemble au cours des cinq dernières années pour renforcer les contrôles sur leur Internet national et ont promu l’idée de la cyber souveraineté afin de réduire l’emprise des États-Unis sur la gouvernance mondiale du cyberespace. »
Le patriotisme
Il faudra également compter sur l’ego russe. Son ‘semi-échec’ (pour l’instant) en matière de cyber guerre en Ukraine, a chatouillé l’égo du président russe. On peut imaginer que pour lui, la partie ne se termine pas là, et qu’une revanche est à prévoir.
Le président Vladimir Poutine voudra maintenir sa position de leader mondial, et pour cela utilisera l’arme cyber, moins chère et plus lucrative.
Finalement, si les deux géants s’associent on peut imaginer que la Chine prendre la tête dans un domaine, le cyber espionnage industriel, tandis que la Russie montre la voie dans l’autre, le renseignement notamment militaire et la désinformation.
Ces évolutions suscitent des craintes. La combinaison des forces pourrait créer une multitude d’adversaires criminels.
Cyber sixgill nous prévient « Compte tenu de la sophistication des cybercriminels et de leur modus operandi en constante évolution, le transfert de ces connaissances aux acteurs chinois de la menace est particulièrement préoccupant. Si cette alliance russo-chinoise se poursuit, une nouvelle superpuissance cyber non étatique dévastatrice pourrait émerger, non contrôlée par des préoccupations diplomatiques ou des craintes de déstabiliser l’ordre international »
Néanmoins , pour finir sur une note plus rassurante, on peut espérer que Pékin et Moscou resteront méfiants vis-à-vis de leurs cybers capacités respectives, qu’il y aura une limite à cette collaboration.
En définitive, lorsqu’il s’agit d’anticiper la menace, aucun idiome ne sonne plus vrai que de dire « comprendre ce qui motive et façonne les comportements des individus » constitue déjà en soi un outil de défense car n’oublions jamais que « L’épée a toujours un coup d’avance sur le bouclier ».
Nathalie Granier- Décembre 2022
—————————————————————–
A lire l’excellent rapport de cyber Sixgill : THE BEAR AND THE DRAGON de Naomi Yusupov
https://www.cybersixgill.com/resources/threat-reports/russian-chinese-cybercriminal-communities/
Sources
https://cybernews.com/news/fbi-china-influence-tiktok/
https://cybernews.com/cyber-war/key-highlights-of-russias-cyber-aggression-against-ukraine-has-russia-exhausted-its-digital-arsenal/
https://www.cybersixgill.com/wp-content/uploads/2022/06/China-Russia-Dark-Web-Report-1.3-2.pdf
https://www.cybersixgill.com/resources/threat-reports/russian-chinese-cybercriminal-communities/
https://www.researchgate.net/publication/341914550_A_coalition_of_the_unwilling_Chinese_Russian_perspectives_on_cyberspace
https://www.recordedfuture.com/russian-chinese-hacking-communities
https://www.cfr.org/backgrounder/made-china-2025-threat-global-trade
https://www.protocol.com/enterprise/china-hacking-ip-russia-cybersecurity
https://www.cfr.org/backgrounder/made-china-2025-threat-global-trade
https://www.recordedfuture.com/russian-chinese-hacking-communities
https://www.theguardian.com/world/2022/dec/30/vladimir-putin-invites-xi-jinping-moscow-russia-alliance-china
https://theintercept.com/2022/12/30/russia-china-news-media-agreement/
Le point-La france nid d’espions. 2021
La cyber puissance chinoise. Illusion ou réalité. EGE. Juin 2022