Phishing in the South China Sea

Hameçonnage en mer de Chine méridionale

ParMarie

En août dernier, Proofpoint, une importante société de cybersécurité basée en Californie, a publié un rapport sur une opération de phishing inhabituelle en mer de Chine méridionale. La campagne, qui se serait déroulée de mars 2021 à juin 2022, visait les sociétés énergétiques offshore opérant dans le champ gazier de Kasawari au large des côtes du Sarawak en Malaisie.

Les entreprises impliquées dans le projet offshore ont reçu des e-mails contenant des liens vers un site Web d’informations australien apparemment légitime. Cliquer sur les liens, cependant, a activé un logiciel malveillant appelé ScanBox, donnant au pirate un certain contrôle sur l’ordinateur de la victime, y compris la possibilité de surveiller les frappes au clavier et l’activité du navigateur.

Qui était derrière l’attaque ? Les auteurs ont évalué avec une « confiance modérée » que le piratage portait la signature d’un groupe de cyberespionnage connu sous le nom de TA423/Red Ladon ou APT40. Basé à Hainan, « l’acteur de la menace » aurait des liens avec le ministère chinois de la Sécurité d’État.

Quelle a été la réaction en Malaisie à une prétendue cyberattaque sur un projet énergétique phare ?

Petronas, la société publique qui exploite le champ gazier offshore, a refusé de commenter mais a déclaré que la société était protégée contre les attaques en ligne. Le cyber-scoop a été remarquablement peu couvert par les médias locaux et ne figurait pas sur une liste de violations de données importantes, qui comprenaient des piratages à la Commission électorale, à Maybank (la plus grande banque de Malaisie) et à Malaysia Airlines. Seul MyCERT, le cyber-organisme de surveillance du pays, a publié un avis sur l’APT40 en novembre, avertissant que l’objectif du groupe était « l’exfiltration » des « propositions, réunions, données financières, informations d’expédition, plans et dessins, et données brutes » relatives aux projets.

La réponse discrète de la Malaisie peut refléter la politique de non-confrontation du pays sur toutes les questions relatives à la mer de Chine méridionale. Par exemple, lorsque des navires des garde-côtes chinois pénètrent dans les eaux côtières, la marine royale malaisienne utilise une tactique de « filature » sans défier ouvertement les bateaux ni les forcer à partir. Du point de vue de la Malaisie, un partenaire commercial majeur comme la Chine devrait avoir la possibilité de se défouler. « La ligne rouge de la Malaisie est toute interférence physique avec ses activités d’exploitation », a écrit Emirza Adi Syailendra, chercheur en études stratégiques à la S. Rajaratnam School of International Studies. De plus, les puissances occidentales comme les États-Unis et l’Australie sont découragées de s’impliquer.

Dans un podcast sur l’état de l’Asie de 2021, l’auteur Ben Bland a observé : « Nous voyons la Malaisie essayer souvent de minimiser la nature de ces différends pour dissimuler des incidents. Alors que des pays comme le Vietnam et les Philippines ont, à des moments différents, joué une stratégie beaucoup plus agressive.

L’éléphant dans la pièce est la «ligne en neuf tirets» controversée de la Chine, qui couvre environ 90% de la mer de Chine méridionale, se heurtant aux zones économiques exclusives des voisins et des partenaires commerciaux. Selon la définition de la Convention des Nations Unies sur le droit de la mer (UNCLOS) de 1982, les pays peuvent exercer des activités économiques à moins de 200 milles marins de leur littoral. La Chine a été l’un des premiers signataires de la CNUDM, mais a rejeté certains aspects de la loi, y compris un verdict du tribunal de 2016 qui a statué en faveur des Philippines.

La zone maritime de 3,5 millions de kilomètres carrés est un espace très disputé et abrite certaines des voies de navigation les plus fréquentées au monde, des îles riches en ressources, des zones de pêche lucratives et une manne énergétique potentielle : 11 milliards de barils de pétrole et 190 000 milliards de pieds cubes de ressources naturelles. gaz. La mer de Chine méridionale est à égalité avec le Venezuela, riche en énergie, rien qu’en réserves de gaz.

« (Presque) tout le monde fore à l’intérieur de la ligne en neuf tirets », lit-on dans le titre d’un commentaire récent du Center for Strategic and International Studies (CSIS) à Washington, DC La Malaisie était parmi les plus actives dans l’exploration, ayant fait plusieurs gisements de pétrole et les découvertes de gaz au cours de la dernière décennie. En tant que l’un des centres d’activité de forage les plus actifs au sein de la ligne en neuf tirets, le champ gazier de Kasawari est devenu un point focal naturel pour les activités de surveillance des garde-côtes chinois.

Compte tenu de son importance stratégique et économique, le champ gazier a été la cible de certaines tactiques notables de «zone grise» en 2021. Le 1er juin de cette année-là, alors que l’assemblage de la plate-forme de tête de puits était en cours, 16 avions chinois «volaient en formation tactique» ont été repérés au large du Sarawak. La Malaisie a dépêché des avions de chasse pour intercepter les avions de transport. Le ministre des Affaires étrangères Hishammuddin Hussein a déposé une plainte avec Pékin au sujet de la « violation de l’espace aérien et de la souveraineté de la Malaisie ». Le ministère chinois des Affaires étrangères a minimisé l’incident, le qualifiant d' »opération d’entraînement de routine ». Hussein s’est ensuite entretenu avec le ministre chinois de la Défense et souligné la « nécessité de faire preuve de retenue » en mer de Chine méridionale.

La première phase de la campagne de phishing a commencé un jour après l’incident de l’avion. Selon Proofpoint, quatre entités directement impliquées dans le projet Kasawari ont été ciblées, ce qui a conduit les auteurs à suggérer que « ce projet en mer de Chine méridionale était très probablement une zone d’intérêt prioritaire pour l’acteur menaçant ». Le rapport prévoyait que la campagne de phishing se poursuivrait tant que les sociétés d’exploration offshore seraient actives dans la région.

Prévu pour commencer la production en 2023, Kasawari est l’un des 19 nouveaux projets énergétiques destinés à propulser la Malaisie dans les premiers rangs des exportateurs de gaz naturel. Selon un rapport de Fitch Solutions sur l’industrie pétrolière et gazière, « La mise en œuvre réussie de son pipeline offshore prévu fera de la Malaisie l’un des pays asiatiques les plus performants en termes de croissance de la production de gaz au cours des trois à quatre prochaines années ».

Pourquoi les pirates s’en sont-ils pris aux sociétés offshore de Kasawari ? Les adresses IP révélatrices de Red Ladon pourraient fournir un indice sur ses intentions. Opérant près de la base navale de Yulin à Hainan, le groupe recueille des renseignements pour faire avancer les objectifs stratégiques de la Chine, notamment la surveillance des pays partenaires maritimes dans le cadre de l’initiative « la Ceinture et la Route ». En 2019, des chercheurs de la société américaine de cybersécurité Mandiant (maintenant détenue par Google) ont écrit : « Nous pensons que l’accent mis par APT40 sur les questions maritimes et la technologie navale soutient en fin de compte l’ambition de la Chine d’établir une marine de haute mer. »

La campagne de phishing en cours, cependant, semble avoir un objectif commercial plutôt que militaire. Pékin considère la mer de Chine méridionale comme un espace partagé pour l’exploration énergétique, en particulier au sein de la ligne en neuf tirets. En 2018, l’entreprise publique China National Offshore Oil Corporation a invité « toutes les sociétés pétrolières et gazières » à « investir et opérer conjointement dans l’offshore chinois et à réussir avec l’entreprise ». Plus récemment, un média d’État a précisé que la Chine recherchait des « partenariats économiques bleus » avec les pays de l’ANASE.

Malgré les paroles rassurantes, un calme précaire règne en mer de Chine méridionale. Le SCRS a mis en garde, « alors que plusieurs demandeurs vont de l’avant avec de nouveaux projets offshore en 2023, le développement pétrolier et gazier pourrait réapparaître comme un principal point d’éclair dans les différends ».

Post-scriptum. Quelques jours après que Proofpoint a rendu public ses conclusions, la Chine a fait une rare divulgation concernant une violation de données. La principale entité de cybersécurité a allégué qu’une agence de renseignement américaine avait infiltré les réseaux de la Northwestern Polytechnical University à Xi’an. Un groupe appelé Office of Tailored Access Operations avait déployé des e-mails de phishing pour accéder aux données des programmes de recherche aéronautique et spatiale sur le campus.

Le ministère chinois des Affaires étrangères a exhorté les États-Unis à « jouer un rôle constructif dans la défense de la cybersécurité ».

Marie
Marie

Je suis Marie, rédactrice chez "Visualiser La Corruption", munie d'une formation en droit et d'une passion ardente pour la justice. Mes analyses visent à démanteler les réseaux de corruption, illuminant la voie vers la transparence et l'équité. Mon objectif : inspirer le changement à travers l'information précise et impactante.

A lire également

Suite à l’exportation par la Chine de marchandises sanctionnées via l’Asie centrale vers la Russie

Suite à l’exportation par la Chine de marchandises sanctionnées via l’Asie centrale vers la Russie

À la suite de l’invasion russe de l’Ukraine, les États-Unis, l’Union européenne et d’autres pays du monde ont imposé un large éventail de sanctions à la Russie, obligeant Moscou à utiliser la Turquie et les pays voisins d’Asie centrale pour…