Encore un rapport statistique, encore une étude sur les APT et leur origine Chinoise supposée. Mais cette analyse, réalisée par FireEye, ( téléchargement gratuit, inscription inquisitrice obligatoire) apporte un éclairage relativement différent comparé aux récents travaux de Verizon et Mandiant. Les enquêteurs partent du principe qu’effectivement, une très vaste majorité des outils d’espionnage et d’exfiltration de donnée (89%) sont d’origine Chinoise, reposant d’ailleurs bien souvent sur un moteur unique, Gh0st RAT. Un Botnet dont les machines qui, comme tous les outils du même métal, doivent nécessairement communiquer avec leur C&C, leur centre de commande et de récupération d’information, ne serait-ce que pour y trouver des mises à jour ou y envoyer le fruit de leurs pillages de données. Et c’est précisément cette fonction « téléphone maison », pour un volume de plus de 12 millions d’appels, que l’équipe de FireEye a tracé.
Et contrairement aux idées reçues, les Bot ne téléphonent pas en Chine. Bien au contraire, ils auraient tendance à chercher un C&C dans le pays de résidence de la machine compromise. Un zombie US appelle un centre de commande US. Principale raison de ce refus d’une plateforme offshore : la volonté de ne pas attirer l’attention des outils de surveillance. Un ordinateur qui appelle le Kazakhstan, c’est forcément suspect. Mais un envoi de fichier ver La Garenne Bezon, pourquoi y voir du mal ? La première conséquence de cette « relocalisation » des appels de machines compromise est un accroissement du nombre de pays hébergeurs de C&C. 184 pays recensés à la fin 2012.
Et lorsque les données quittent manifestement les frontières du pays, c’est pour voyager non pas en Chine, mais en direction du Japon ou de la Corée du Sud, havre de paix pour les C&C en mal d’hébergement. Pourquoi la Corée ? Probablement, expliquent les ingénieurs de FireEye, en raison de la qualité exceptionnelle de l’infrastructure Internet en ce pays. Le sérieux du réseau Coréen inspire confiance aux espions de l’Empire du milieu.
Du coup, les USA, cible privilégiée des espions Chinois, se trouvent pratiquement en tête du classement des pays hébergeurs de C&C, puisque 44% des appels de zombies convergent vers ce pays. Comparativement, les machines expatriant leurs données ne comptent plus que pour 24 % des rappels, mais ces rappels s’effectuent en priorité dans une région d’Asie ou l’influence Chinoise est très importante : Corée du Sud, Japon, Inde, Hong Kong. En deuxième place viennent les pays qui échappent juridiquement aux polices des pays occidentaux Russie, Pologne, Roumanie, Ukraine, Kazakhstan et… Lettonie, pays de la zone CE. Ce n’est donc plus une seule maison à laquelle téléphone le bot moyen, mais à une multitude de « légations officielles du réseau pirate Chinois ».