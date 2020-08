Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Une présentation à la Black Hat (virtual) Security Conference cette semaine a révélé les détails d’un certain nombre d’opérations de piratage visant l’industrie taïwanaise des semi-conducteurs. La société de sécurité taïwanaise CyCraft a présenté les détails de son enquête lors de la conférence. Au moins sept entreprises taïwanaises ont été pénétrées dans une attaque que CyCraft appelle l ‘«opération Skeleton Key», en raison de l’utilisation d’une technique d’injection à «clé squelette». Alors que CyCraft a surnommé le groupe Chimera, il existe des preuves de liens avec la Chine continentale et peut-être avec des groupes de piratage parrainés par le gouvernement.

«Il s’agit d’une attaque basée sur l’État qui tente de manipuler la position et le pouvoir de Taiwan», a déclaré Chad Duffy, l’un des chercheurs de CyCraft qui a travaillé sur la longue enquête de la société, à Wired. Le type de vol massif de propriété intellectuelle observé par CyCraft «nuit fondamentalement à l’entière capacité d’une entreprise à faire des affaires», ajoute Chung-Kuan Chen, un autre chercheur de CyCraft qui présentera les recherches de la société à Black Hat aujourd’hui. « C’est une attaque stratégique contre l’ensemble du secteur. »

L’année dernière, nous avons couvert un problème majeur de malware impliquant Asus. Le logiciel de l’entreprise avait été détourné par un code malveillant inséré dans le propre logiciel d’Asus et expulsé par les serveurs de l’entreprise. Ce qui a rendu ces attaques intéressantes, c’est que le logiciel en question était clairement ciblé sur des individus spécifiques. Une fois que le logiciel malveillant a été chargé sur un système, il a vérifié l’adresse MAC par rapport à une liste d’environ 600 adresses spécifiques avant de télécharger des charges utiles supplémentaires à partir d’un serveur de commande et de contrôle. Ce type d’attaque sophistiquée adopte exactement l’approche opposée de votre botnet zombie typique, qui cherche à infecter autant de systèmes que possible. L’attaque d’Asus n’était pas ponctuelle et CyCraft a suivi les empreintes digitales numériques des groupes derrière ces agressions depuis plusieurs années.

CyCraft n’a pas révélé les noms des entreprises qui ont été touchées par les attaques, mais les intrusions montrent des empreintes digitales communes. Les pirates ont obtenu l’accès via des réseaux privés virtuels (VPN) compromettants, même si les méthodes qu’ils ont utilisées pour y accéder ne sont pas claires. Une fois à l’intérieur, ils ont utilisé une version personnalisée de l’outil pentest Cobalt Strike pour télécharger des logiciels malveillants se présentant comme un fichier de mise à jour de Google Chrome. Les équipes se sont donné beaucoup de mal pour cacher leur travail, ne distribuant jamais de logiciels malveillants susceptibles de faire basculer le personnel de sécurité sur leur propre existence sur le réseau. Selon Wired, la tactique la plus distinctive employée par les pirates informatiques était de manipuler les contrôleurs de domaine pénétrés pour créer un nouveau mot de passe pour chaque utilisateur du système, injectant ainsi efficacement une clé squelette pour eux-mêmes dans le processus.

Pourquoi CyCraft pense-t-il qu’il traque les pirates de Chine continentale?

À un moment donné, explique l’article de Wired, les chapeaux blancs CyCraft ont réussi à intercepter un jeton d’authentification pour le serveur de commande et de contrôle des logiciels malveillants. Sur le serveur se trouvait une «feuille de triche» décrivant comment le groupe exfiltrait généralement les données de ses victimes. Le document a été rédigé en chinois simplifié en utilisant des caractères utilisés sur le continent mais pas à Taiwan. Le groupe semblait également suivre un horaire de travail traditionnel chinois connu sous le nom de 9-9-6 (9 heures-21 heures, six jours par semaine) et ils prenaient des vacances selon le calendrier de la Chine continentale – pas de Taiwan. Cela ne suffirait pas pour obtenir des condamnations devant un tribunal, mais cela passe le test «Si ça se dandine comme un canard».

Les ramifications de ce type de vol de propriété intellectuelle pourraient être considérables – et elles ne profitent pas toutes à la Chine. Les semi-conducteurs ne sont pas uniquement fabriqués à partir de silicium. Dans le modèle de la fonderie cliente, elles reposent également sur la confiance. Chaque client TSMC, Samsung et GlobalFoundries a donné à la fonderie cliente un accès à la propriété intellectuelle critique. Nvidia doit être en mesure de croire que TSMC ne vendra pas d’informations sur ses produits à une entreprise concurrente.

Imaginez une situation hypothétique dans laquelle AMD travaille avec TSMC pour implémenter un nœud 5 nm modifié pour les futurs processeurs Ryzen qui améliorent leur vitesse d’horloge de 200 à 300 MHz par rapport à la norme 5 nm de TSMC. Dans le même temps, Intel exprime son intérêt pour la construction de puces chez TSMC sur 5 nm. Comme tout client, Intel a des vitesses d’horloge et des chiffres de consommation d’énergie cibles qu’il souhaite atteindre. L’IP AMD développé avec TSMC pour son propre usage privé améliorerait considérablement la structure de coût de l’accord TSMC / Intel – mais l’accord de TSMC avec AMD empêche de le partager avec un rival. Si AMD ne peut pas faire confiance à TSMC pour ne pas utiliser son travail, AMD va trouver un autre partenaire de fonderie.

La situation avec la Chine est plus complexe que cela. Ici, il ne s’agit pas seulement de la compétitivité du processeur, mais de la capacité à trouver des défauts matériels incrustés dans le silicium avant même qu’un processeur ne soit publié. Bien que nous n’en parlions pas souvent comme un sujet, les bogues au niveau du matériel sont un problème qui ne fait que s’aggraver à mesure que le nombre de transistors du processeur continue d’augmenter.

«C’est un moyen de paralyser une partie de l’économie taïwanaise, de nuire à leur viabilité à long terme», dit Duffy. «Si vous regardez la portée de cette attaque, à peu près l’ensemble du secteur, en amont et en aval de la chaîne d’approvisionnement, il semble qu’il s’agisse d’essayer de modifier la relation de pouvoir. Si toute la propriété intellectuelle est entre les mains de la Chine, elle a beaucoup plus de pouvoir. »

Il y a beaucoup plus de reportages aujourd’hui sur le vol de propriété intellectuelle et de secrets commerciaux par la Chine qu’il y a quelques années. Il sera intéressant de voir si les pays occidentaux restent aussi désireux de travailler en Chine à l’avenir qu’ils l’ont été au cours des dernières décennies.

