I-S00N
Le renseignement chinois dans tous ses états
Le renseignement chinois dans tous ses états
Le 16 février 2024 marque une avancée significative dans la compréhension publique de la collaboration entre le gouvernement chinois et les entreprises privées en matière de renseignement. Une publication sur un forum spécialisé du darknet a exposé des informations sensibles appartenant à l’entreprise Anxun, une entreprise reconnue pour son expertise dans le développement d’outils d’espionnage et sa participation active dans les opérations de renseignement.
Les données fuitées ont été mises à disposition via deux vecteurs distincts, accompagnées de liens de récupération spécifiques pour Mega et GitHub. La présence du lien GitHub a notamment facilité l’accès à ces données. Tandis que le lien Mega reste accessible, l’accès via GitHub a été retiré.
Bien que les répertoires originaux soient désormais inaccessibles, de multiples copies ont émergé sur diverses plateformes, parfois avec des traductions et un tri partiel. Cette prolifération souligne l’ampleur de la fuite et sa portée au sein de la communauté cyber. L’analyse approfondie de ces données révèle des informations critiques, notamment :
- Des listes de clients révélant des liens particuliers avec le régime en place
- Des captures d’écrans de conversation faisant part de demandes particulières concernant des cibles
- Une liste d’entités ciblées par des écoutes mettant en lumière les moyens déployés pour récupérer du renseignement
- Des plaquettes de présentations de produits et un récapitulatif des offres proposées par l’entreprise permettant de mettre des solutions techniques en face des capacités de cette entreprise
- Un document d’accord entre le bureau de la sécurité publique du Xinjang à Bazhou et l’entreprise prouvant les liens étroits entre le régime Chinois et Anxun.
L’analyse effectuée se divise en trois parties : d’abord, l’examen des listes, logs de surveillance, et captures d’écran révèle les pratiques et cibles d’Anxun. Ensuite, l’étude des services offerts par l’entreprise évalue ses capacités technologiques. Enfin, l’examen de l’accord avec le gouvernement chinois met en lumière les cadres légaux et opérationnels de leur collaboration.
Il est à noter que l’ensemble des documents analysés ont été traduits via un traducteur automatique et ont fait l’objet d’une reconstitution attentive. Malgré la possibilité d’erreurs de traduction, notamment dans les captures d’écran, une attention particulière a été portée à la contextualisation et au recoupement des informations issues de plusieurs documents pour assurer l’intégrité de l’analyse. Pour une représentation synthétique de la répartition des différents formats de documents étudiés, un schéma illustrant leur distribution selon leur nature est présenté ci-dessous.
Exploration des méthodes et cibles d’Anxun : Logs, Captures d’écrans et Tableaux
Analyse des logs
Les logs, bien que représentant qu’une portion restreinte de la fuite, révèlent des détails sur les cibles surveillées. Ces fichiers mettent en lumière des échanges téléphoniques et des flux de données internet provenant de dispositifs mobiles, grâce à l’identification par des numéros de téléphone et des IMEI, des identifiants uniques pour chaque appareil.
Les éléments analysés spécifient également l’implication de divers opérateurs télécoms, notamment Beeline, un acteur majeur en Russie, et Tele2, avec une présence significative en Europe.
L’analyse approfondie des logs indique une convergence notable : la majorité des activités de surveillance concerne des individus ou des entités situés au Kazakhstan. Cette focalisation géographique n’est pas anodine et suggère une stratégie ciblée de surveillance de cette région. Ce constat renvoie aux préoccupations de sécurité et d’intrusions au sein des réseaux télécoms, un sujet qui sera développé à travers l’étude des captures d’écran et d’autres documents fuités.
Examen des captures d’écran
Les captures d’écrans représentent une part substantielle du contenu divulgué. La majorité de ces images sont relatives à des échanges de messages entre différents pseudonymes. Ci-dessous, un graphique illustrant les interactions entre ces différents pseudos, à partir des données récupérées depuis ce Github :
Dans l’analyse des échanges capturés, les discussions portent principalement sur des requêtes de collecte d’informations sur diverses cibles, y compris des opérations liées à l’OTAN. Il est à noter que toutes les conversations extraites ne se rapportent pas directement aux activités de renseignement de l’entreprise. Certaines d’entre elles traitent de sujets quotidiens et semblent refléter des interactions ordinaires entre collègues.
Pour établir un lien avec les sections suivantes de cet article et enrichir l’analyse des captures d’écran, il est essentiel de souligner les images spécifiquement liées aux activités d’interception et au vol de données ciblant différentes organisations, comme en témoigne la capture d’écran suivante :
Des détails supplémentaires sur ces opérations seront fournis, appuyés par d’autres éléments, incluant, entre autres, des tableaux répertoriant les cibles visées.
Décryptage des tableaux divulgués
Les tableaux Excel divulgués sous forme de captures d’écran révèlent plusieurs listes qui offrent des perspectives intéressantes sur les opérations et les pratiques commerciales d’Anxun.
Ces documents mettent en lumière différents aspects, notamment :
- Devis des produits d’Anxun: ils révèlent le cout des différents produits proposés par l’entreprise.
- Performances et informations confidentielles des employés : des tableaux détaillent les résultats des employés et contiennent des données sensibles pour certains d’entre eux.
- Récapitulatifs de données subtilisées : ces documents fournissent des informations sur les données extraites auprès de différents opérateurs télécoms et compagnies aériennes, notamment du Vietnam et du Myanmar.
- Extrait d’un CRM : le suivi des clients et des commandes réalisées. Parmi les noms mentionnés dans ces documents, certains peuvent être interprétés comme désignant des unités militaires ou des forces de l’ordre, illustrant la portée gouvernementale des opérations d’Anxun. Par exemple, l’unité 59 et le bureau de la sécurité publique de Haikou dans la province du Yunnan sont spécifiquement cités. De même, l’unité 938 dans la province du Hubei et d’autres institutions dans diverses provinces chinoises sont mentionnées. Ces références confirment que les clients d’Anxun sont en grande partie issus du secteur public.
- Liste de cibles : le dernier tableau contient une liste de personnes et d’organisations ciblées par l’entreprise. Dans les colonnes de ce tableau, sont indiqués les noms, les types de données, et les dates d’échantillonnage. Il est à noter que parmi ces informations, figurent notamment les noms et prénoms de deux personnes affiliées à Sciences Po.
Ces tableaux excel dévoilent le fonctionnement interne d’Anxun, tant sur le plan commercial que des ressources humaines. Ils soulignent également les efforts conséquents déployés pour infiltrer diverses organisations dans le but de collecter d’importante quantité de données. La présence significative d’entités gouvernementales parmi ses clients confirme l’intégration d’Anxun dans l’écosystème de renseignement chinois, mettant en évidence son rôle dans la surveillance et la collecte d’informations à grande échelle.
Présentation des produits et services d’Anxun
Découvertes des capacités
Les documents récupérés lors de cette fuite offrent un aperçu des capacités et des services proposés par Anxun. Ces informations, principalement issues de livres blancs et de présentations, illustrent la diversité et la sophistication des outils développés par l’entreprise pour la surveillance, l’interception de communications, et les opérations offensives.
Cette capacité à mettre en œuvre une surveillance aussi poussée repose fondamentalement sur le développement de solutions techniques avancées et efficaces, un aspect que nous allons explorer plus en détail ici.
Parmi les documents reconstitués figurent plusieurs fichiers PDF révélant divers aspects de l’activités d’Anxun :
- Un document, que nous examinerons plus en détail ultérieurement, semble illustrer une collaboration formelle entre Anxun et une autorité gouvernementale locale en Chine.
- Une présentation PowerPoint en une dizaine de slides, qui bien qu’étant un résumé des capacités et des offres commerciales de l’entreprise, ne sera pas examinée en détail ici car elle semble reprendre les éléments déjà discutés.
- Un appel d’offre et un manuel d’instruction pour le logiciel Hector.
- Des livres blancs fournissent une analyse détaillée et techniques de certains produits proposés par Anxun.
- Une présentation exhaustive des services proposés par Anxun.
Les différents livres blancs permettent d’avoir une vision d’ensemble sur les capacités proposées par Anxun et les produits mis en place pour récolter du renseignement sur différents supports.
Ces livres contiennent un recueil du besoin, une architecture technique et des captures d’écrans de démonstrations de produits. Ils concernent les produits suivants :
- Une plateforme d’analyse des mails & plateforme d’extractions d’informations d’Outlook : plateformes permettant d’analysés les courriers électroniques et d’extraire des informations de ces derniers par rapport à des mots clés et d’autres paramètres relatifs à la cible de l’interception.
- Plateforme permettant la connexion à distance à un réseau sécurisé privé.
- Des plateformes de formations : elles sont orientées formation pratique avec l’une portant sur la réalisation d’exercice blueteam/redteam et l’autre portant sur la formation aux tests d’intrusion au travers de différents scénarios.
- Une plateforme dédiée à la lutte contre les jeux d’argent en ligne.
- Une plateforme de tests d’intrusion automatisés et une suite d’outils pouvant être utilisé dans le cadre d’opérations offensives.
- Une plateforme de “contrôle à distance des systèmes Windows” qui n’est ni plus ni moins qu’un RAT. En plus de cette plateforme nous retrouvons le manuel d’utilisation d’Hector, un outil de prise en main à distance via webshell.
- Une plateforme de contrôle de l’opinion des personnes sur twitter et sur les plateformes sociales comme des forums.
- Une plateforme d’analyses pour les opérations de renseignement assisté par algorithme.
Ci-dessous est présenté un extrait du contenu du livre blanc dédié à Twitter :
L’examen des services offerts par Anxun montre un large éventail de capacités techniques et de propositions de valeur. Cependant, il convient de souligner que la présence de ces services dans les documents ne confirme pas systématiquement leur disponibilité ou leur mise en œuvre effective. Il est possible que certaines des solutions présentées ne soient encore que des concepts au stade de la recherche et du développement, envisagés pour une future commercialisation. Cette nuance est importante pour évaluer la portée réelle des activités d’Anxun et leur impact potentiel dans le domaine de la cybersécurité et du renseignement.
Plongée dans l’éventail des produits
Pour offrir une illustration plus précise de cette section concernant les livres blancs, il est proposé ci-après plusieurs éléments qui ont particulièrement retenu notre attention.
L’un des documents met en avant un outil de contrôle à distance, communément désigné par l’acronyme RAT, destiné aux systèmes Windows. Ce document détaille non seulement le fonctionnement de cet outil, mais explique également comment il a été adapté pour d’autres systèmes d’exploitation tels que MacOS et Linux.
Il a été observé à la lecture du document que ce RAT a également été modifié pour fonctionner sur des plateformes mobiles telles qu’Android et iOS, élargissant ainsi son spectre d’utilisation et de surveillance.
Pour poursuivre notre illustration, le document relatif à présentation des services commerciaux d’Anxun, enrichie de visuels détaillés des divers outils, offre un aperçu approfondi de l’architecture mise en place pour l’interception des emails.
Pour continuer, la gamme de produits exposée exclusivement dans la présentation des services d’Anxun met en lumière divers équipements méteriels spécialisés. Parmi eux, on trouve des outils conçus pour attaquer les réseaux Wi-Fi dans le but de récupérer les mots de passe et d’effectuer des phases de reconnaissance avant intrusion. Deux versions de ces outils sont proposées :
Dans le même registre, afin de permettre la localisation de terminaux mobiles via le système wifi, un équipement spécifique a été conçu. Ce dispositif force les appareils environnants à se connecter à sa borne, permettant ainsi de suivre tous les utilisateurs dans une zone donnée. Voici une image du produit :
Il est également observé qu’Anxun a développé un système similaire à celui utilisé par TOR pour anonymiser les connexions. Comme mentionné dans la description du service, celui-ci est utilisé pour anonymiser les opérations sur des réseaux étrangers. La similitude avec le système utilisé par TOR découle de la description technique du fonctionnement du produit, comme illustré ci-dessous :
Le “mur anti-traçage” est fourni sous la forme du matériel suivant :
Dans la suite de la présentation des services commerciaux, on retrouve, entre autres, la description détaillée d’outils de contrôle de l’opinion, de plateforme de tests d’intrusion automatisés, ainsi que de la plateforme Falcon. Il est également constaté la présence d’une plateforme d’analyses de renseignement en temps réel basé sur une architecture cloud nommé SkyWalker :
En plus de cela, figure la plateforme d’analyses pour les opérations de renseignement assisté par algorithme, mentionnée précédemment.
Cette exploration détaillée des produits et services d’Anxun démontre une expertise technique poussée dans le domaine du renseignement et de la surveillance. Les outils, adaptés à plusieurs systèmes d’exploitation et conçus pour des opérations spécifiques, reflètent une capacité d’innovation et un engagement vers une surveillance étendue.
Accord avec le bureau de la sécurité publique du Xinjang
Un accord entre le bureau de la sécurité publique de Bazhou, situé dans la préfecture autonome du Bayingol au sein de la région autonome ouïghoure du Xinjiang, et l’entreprise Anxun a été détaillé dans un document. Bien que ce document aborde les conflits entre le gouvernement local et diverses factions considérées comme terroristes, notre analyse se concentrera principalement sur les aspects liés aux produits d’Anxun et à ses activités de renseignement.
Le document révèle que Anxun s’est engagée dans la collecte d’informations par l’infiltration de diverses entités, couvrant une gamme étendue de services et d’entreprises à travers plusieurs pays, y compris :
1. Au Pakistan :
- Données du centre antiterroristes de la région du punjab
- Données de services du gouvernementaux : service postaux, service de police du penjab et du poste de police pakistanais de Perouz
- Données de communication de l’opérateur Zong
2. En Afghanistan :
- Accès à l’Intranet et service postal du conseil national de sécurité afgha
3. Pour le Centre antiterroriste d’Asie du Sud-Est :
- Données du service postal
4. En Malaisie :
- Données politiques et économiques des ministères des Affaires étrangères et de l’Intérieur
- Données militaires provenant du réseau militaire Malaisien
5. En Thaïlande :
- Données politiques et économiques du ministère du Commerce et des Finances
6. Mongolie :
- Données politiques et économiques des ministères de la police et des affaires étrangères Mongol
- Données de communications d’opérateurs Mongol
7. Pour Air Astana et Air Macau :
- Données de voyages
8. Au Kazakhstan :
- Données de communication des opérateurs Kcell et Beeling, une partie de ces données est disponible dans les différents mds présents dans la fuite.
Pour la partie renseignement générique, le document indique que pour l’Afghanistan, la Syrie, l’Ouzbékistan et l’Iran, la société a mis en place des équipes projets spécifiques sur des cibles particulières et afin de préparer de potentiel infiltration.
En termes de capacité techniques, Anxun propose au bureau de la sécurité publique de Bazhou une formation en cybersécurité défensive et offensive. Bien qu’il soit question de programme défensif dans le document, la partie offensive est bien plus mise en avant. Par exemple, il est fait mention à plusieurs reprises d’outils de pénétration réseau ainsi que d’outils de contrôle à distance des terminaux.
Dans une troisième partie du document on y retrouve l’idée d’un plan de formation de talents avec un système qui se rapproche de l’alternance ou des stages. Il y est évoqué la relation importante entre les écoles, le bureau de la sécurité publique et les entreprises.
Dans la quatrième et dernière partie, on y retrouve une partie sur la construction complète d’un laboratoire de recherche développement concernant, les programmes offensifs cyber, l’investigation numérique et la surveillance de la population. Tout cela se faisant en accord avec la politique global du gouvernement. Ci-dessous, un extrait relatif à l’expansion des capacités en recherche et développement du gouvernement chinois :
Plusieurs volets techniques sont évoqués dans cette partie :
- Le renforcement des capacités offensives dans le cyberespace
- L’utilisation et le perfectionnement d’outils de protection réseaux et l’audit de ces derniers
- L’utilisation d’équipement de reconnaissance afin d’obtenir du renseignement “orienté vers internet” relatif aux points d’accès réseaux et toutes autres informations disponibles ou récupérables
- Développement d’outils consacrés au contrôle du secret et à la défense de VIP
- L’utilisation des liens commerciaux pour la remonté de renseignement
- Le développement d’équipements de contrôle des réseaux sociaux, courriels et autre système de prise de contrôle à distance des terminaux
Pour la construction de ce Laboratoire, la société Anxun propose la mise à disposition de matériels et de formations.
En conclusion
Cette fuite de données, survenue à la mi-février 2024, marque un tournant dans la prise de conscience publique à propos des opérations d’ingérence cyber menées par la Chine. Ces documents divulgués mettent en lumière des opérations de surveillance avancées et des technologies de pointe, indiquant une stratégie de renseignement bien établie qui soulève des questions importantes sur la sécurité des informations et la protection de la vie privée à l’échelle mondiale.
Malgré le démenti formel du gouvernement chinois concernant presque tous les faits révélés par ces documents, l’étendue et la profondeur des connexions entre les entités mentionnées dans la fuite de données et le gouvernement chinois restent préoccupantes.
L’examen détaillé de ces documents divulgués révèle une gamme étendue de méthodes d’espionnage, mettant en avant un éventail de techniques et d’outils élaborés pour l’infiltration, la surveillance, et la collecte d’informations critiques. Ces révélations exigent une remise en question des stratégies actuelles de sécurité informatique, incitant gouvernements, organisations et individus à améliorer leurs mesures de défense contre une menace en constante évolution.
La Purple Team de Gatewatcher mettra à jour cet article avec toute nouvelle information pertinente qui émergera dans les semaines ou mois à venir.
Auteurs : Purple Team Gatewatcher et 0xSeeker