Les actes d’accusation aident à résoudre un mystère pour les chercheurs en cybersécurité qui suivent le groupe. Pendant plus d’une demi-décennie, il a mené une série d’attaques choquantes de la chaîne d’approvisionnement, détournant les mises à jour des ordinateurs portables Asus et du logiciel antivirus CCleaner, par exemple, pour implanter silencieusement du code malveillant sur des millions d’ordinateurs. Mais il semble également qu’il y ait depuis longtemps différents sous-groupes, parfois considérés comme des pirates du ministère de la Sécurité d’État, qui se font passer pour des cybercriminels ciblant les entreprises de jeux vidéo. Maintenant, il semble plutôt que, plutôt que de faire du moonlighting, un élément de Barium était en fait une organisation sous contrat, comprenant des pirates avec un long passé cybercriminel.

La société pour laquelle les pirates présumés ont travaillé, Chengdu 404, se présente comme une entreprise de cybersécurité proposant des tests de piratage et de pénétration de chapeau blanc, et se vante publiquement de ses clients parmi les agences de sécurité chinoises et l’armée. Mais l’acte d’accusation comprend des communications dans lesquelles le vice-président de son département technique, Jiang Lizhi, se réfère prétendument à son passé de cybercriminel et se vante que ses relations avec le ministère chinois de la Sécurité d’État le protègent des forces de l’ordre nationales. Sherwin a noté à plusieurs reprises mercredi que le ciblage par le groupe des groupes pro-démocratie indique qu’il avait parfois eu des motivations autres que des gains criminels.

“Ces activités criminelles à but lucratif ont eu lieu avec l’approbation tacite du gouvernement de la République populaire de Chine”, a déclaré l’agent spécial du FBI en charge, James Dawson, lors de la conférence de presse de mercredi. “Cette enquête est un autre exemple de la menace mixte de plus en plus observée dans les cyber-enquêtes.”

Le ministère de la Sécurité d’État a probablement commencé à enrôler des groupes tels que Chengdu 404 après l’accord historique de Xi Jinping, lorsque les gouvernements chinois et américain se sont engagés en 2014 à cesser tout piratage ciblant les entreprises du secteur privé pour un avantage économique, a déclaré Adam Meyers, vice-président de renseignement au sein de la société de sécurité CrowdStrike. “Je pense [the hackers] a probablement couru dans les mêmes cercles et créé une entreprise qui est devenue un élément contractuel du ministère de la Sécurité d’État quand ils ont commencé à sous-traiter », déclare Meyers.« En externalisant, vous vous dirigez vers un déni plausible et vous vous éloignez d’une activité sanctionnée. »

Les actes d’accusation indiquent également clairement que ce sont les pirates de Chengdu 404 qui ont mené certaines des attaques les plus notoires de Barium sur la chaîne d’approvisionnement. En désignant le groupe comme responsable d’un logiciel malveillant connu sous le nom de Shadowpad, il les relie à des opérations qui ont implanté des variantes de ce logiciel malveillant dans des logiciels légitimes, notamment ceux d’Asus, CCleaner et Netsarang, un outil de gestion à distance d’entreprise fabriqué en Corée. «Il s’agissait de certaines des attaques de chaîne d’approvisionnement les plus massives de l’histoire», déclare Costin Raiu, responsable de l’équipe mondiale de recherche et d’analyse de la société de sécurité Kaspersky. “Connecter ces gars à ces attaques est très important.”

Comme c’est souvent le cas pour les inculpations de cyberspies étrangers, les cinq hackers inculpés sont toujours en liberté, inculpés uniquement par contumace. Seuls les deux complices malais présumés ont été arrêtés. Mais le ministère de la Justice a fait valoir que les accusations envoyaient un signal aux cybercriminels chinois – et aux agences gouvernementales chinoises qui collaborent avec eux et les protègent – que les États-Unis ont souvent une visibilité profonde sur leurs activités et les tiendront responsables.

“Nous savons que les autorités chinoises sont au moins aussi capables que les forces de l’ordre ici et dans les États aux vues similaires d’appliquer les lois contre les intrusions informatiques. Mais elles choisissent de ne pas le faire”, a déclaré le sous-procureur général adjoint Rosen. “Mais sachez ceci: aucun pays ne peut être respecté en tant que chef de file mondial en ne faisant que du bout des lèvres à l’état de droit et sans prendre de mesures pour perturber des actes criminels effrontés comme ceux-ci. Aucun gouvernement responsable n’héberge sciemment les cybercriminels qui ciblent des victimes dans le monde entier dans des actes de grande importance vol.”


Plus d’histoires WIRED