Le seul contre-mouvement évident à ce problème est d’essayer de mettre les enquêteurs hors de la piste en s’attaquant à des cibles qui ne présentent pas vraiment d’intérêt. Mais cela pose ses propres problèmes – augmenter le volume d’activité augmente considérablement les chances de se faire prendre – ce qui soulève un dilemme Catch-22 pour les pirates.
Les empreintes digitales laissées par les assaillants ont suffi à convaincre les enquêteurs israéliens et américains que le groupe chinois, et non l’Iran, était responsable. Le même groupe de piratage a une forme antérieure, ayant déjà utilisé des tactiques trompeuses similaires. En fait, il a peut-être même piraté le gouvernement iranien lui-même en 2019, ajoutant une couche supplémentaire à la tromperie.
Il s’agit du premier exemple d’un piratage chinois à grande échelle contre Israël, et survient dans le sillage d’un ensemble d’investissements chinois de plusieurs milliards de dollars dans l’industrie technologique israélienne. Ils ont été réalisés dans le cadre de l’initiative « la Ceinture et la Route » de Pékin, une stratégie économique destinée à étendre rapidement l’influence chinoise et atteindre clairement à travers l’Eurasie jusqu’à l’océan Atlantique. Les États-Unis ont mis en garde contre les investissements au motif qu’ils constitueraient une menace pour la sécurité. L’ambassade de Chine à Washington DC n’a pas immédiatement répondu à une demande de commentaire.
Mauvaise direction et mauvaise attribution
L’attaque de l’UNC215 contre Israël n’a pas été particulièrement sophistiquée ou réussie, mais elle montre à quel point l’attribution – et la mauvaise attribution – peuvent être importantes dans les campagnes de cyberespionnage. Non seulement il fournit un bouc émissaire potentiel pour l’attaque, mais il fournit également une couverture diplomatique pour les attaquants : lorsqu’ils sont confrontés à des preuves d’espionnage, les responsables chinois tentent régulièrement de démentir de telles accusations en arguant qu’il est difficile, voire parfois impossible, de retrouver les pirates. .
Et la tentative de détourner les enquêteurs soulève une question encore plus importante : à quelle fréquence les tentatives sous fausse bannière trompent-elles les enquêteurs et les victimes ? Pas si souvent, dit Hultquist.
« C’est encore assez rare de voir ça, dit-il. « Le problème avec ces efforts de déception est que si vous regardez l’incident à travers une ouverture étroite, cela peut être très efficace. »
« Il est très difficile de maintenir la tromperie sur plusieurs opérations. »
John Hultquist, FireEye
Une attaque individuelle peut être mal attribuée avec succès, mais au cours de nombreuses attaques, il devient de plus en plus difficile de maintenir la mascarade. C’est le cas des pirates chinois ciblant Israël en 2019 et 2020.
« Mais une fois que vous commencez à le lier à d’autres incidents, la tromperie perd de son efficacité », explique Hultquist. « Il est très difficile de maintenir la tromperie sur plusieurs opérations. »
La tentative la plus connue de erreur d’attribution dans le cyberespace était une cyberattaque russe contre la cérémonie d’ouverture des Jeux olympiques d’hiver de 2018 en Corée du Sud. Doublé Destructeur olympique, les Russes ont tenté de laisser des indices pointant vers des pirates informatiques nord-coréens et chinois, avec des preuves contradictoires apparemment conçues pour empêcher les enquêteurs de parvenir à une conclusion claire.
« Olympic Destroyer est un exemple étonnant de faux drapeaux et de cauchemar d’attribution », Costin Raiu, directeur de l’équipe mondiale de recherche et d’analyse de Kaspersky Lab, tweeté à l’époque.
Finalement, les chercheurs et les gouvernements ont définitivement rejeté la responsabilité de cet incident sur le gouvernement russe, et l’année dernière les États-Unis inculpé six officiers de renseignement russes pour l’attaque.
Ces pirates nord-coréens qui étaient initialement soupçonnés dans le piratage Olympic Destroyer ont eux-mêmes chuté faux drapeaux au cours de leurs propres opérations. Mais ils ont aussi été finalement attrapés et identifiés à la fois par des chercheurs du secteur privé et par le gouvernement des États-Unis qui inculpé trois hackers nord-coréens plus tôt cette année.
« Il y a toujours eu une idée fausse selon laquelle l’attribution est plus impossible qu’elle ne l’est, dit Hultiquist. «Nous avons toujours pensé que de faux drapeaux entreraient dans la conversation et ruineraient tout notre argument selon lequel l’attribution est possible. Mais nous n’en sommes pas encore là. Ce sont encore des tentatives détectables de perturber l’attribution. Nous attrapons toujours cela. Ils n’ont pas encore franchi la ligne.
L’article Des hackers chinois se sont déguisés en Iran pour cibler Israël est apparu en premier sur zimo news.
