Analyse de la menace

I Ate Your Family’s Rice : Unmasking Space Pirates’ Hacker

OWN-CERT
-
27/11/2023
 Les équipes du OWN-CERT ont mené une investigation sur un des développeurs de malware du groupe de cybercriminels chinois Space Pirates. OWN Security

L’équipe APT du OWN-CERT a mené une investigation sur un·e des développeu·r·se·s de malware du groupe de cybercriminels chinois Space Pirates. L’équipe OWN-CERT est parvenue à mettre en lumière des liens entre le compte de la/du développeu·r·se et un étudiant de l’Université de Harbin des Sciences et Technologies (HRBUST). Nous avons également cartographié des relations intéressantes entre ce/cette développeu·r·se et d’autres étudiants de la même université.

Nous recommandons de lire ce blogpost en écoutant « 白桦林 » (Baihualin) de l’artiste 朴树 (Pu Shu).

Points clefs
  • Le point de départ de cette investigation est un article de Positive Technologies qui pointe un lien entre l’appareil d’un·e hacker et le compte CSDN “ma_de_hao_mei_le”.
  • “ma_de_hao_mei_le” aka “wochinijiamile” était un·e étudiant·e à la HarbinUniversity for Science and Technology (HRBUST) et s’appelle HE Qile.
  • HE Qile est en contact (au moins virtuellement) avec des élèves plus jeunes de la HRBUST participant à desCTF.
  • Des membres de Space Pirates pourraient être liés à la HRBUST.
  • La HRBUST pourrait être un vivier de hackers en puissance.

Introduction

Context

Un article de Positive Technologies, intitulé “Space Pirates: a look into the group’s unconventional techniques, new attack vector and tools”, décortique la chaîne de compromission du groupe cybercriminel Space Pirates,.Grâce au nom d’un appareil apparaissant dans le code d’un malware du groupe, Positive Technologies pointe le compte de blog « ma_de_hao_mei_le » appartenant probablement à un·e des développeu·r·se·s de Space Pirates sans approfondir les recherches. Nous avons décidé de creuser le sujet.

Qui est Space Pirates ?

Space Pirates[1] est un groupe de cybercriminels découvert par Positive Technologies (PT) à la fin de l’année 2019. Selon PT, le groupe est actif depuis au moins 2017. Au moment de la découverte, le groupe menait des attaques d’espionnage et de vol d’information contre des entreprises et des institutions gouvernementales russes, aussi bien avec de nouvelles familles de malware qu’avec des outils traditionnellement utilisés par des modes opératoires adverses (MOA) chinois : Royal Road RTF (8.t), la porte dérobée PcShare, PlugX et PoisonIvy pour les plus connus.

Les chercheurs de PT ont trouvé plusieurs recoupements avec d’autres groupes chinois : Winnti (APT41), Bronze Union (APT27), TA428, RedFoxtrot, Mustang Panda et NightDragon.

PT considère que le groupe a élargi le spectre de ses cibles et le champs géographique de ses activités ; il s’intéresse dorénavant aux informations confidentielles d’entités dans divers secteurs : institutions gouvernementales et d’éducation, industrie aérospatiale, producteurs agricoles, défense, énergie, sécurité privée et entreprises de sécurité de l’information. Les pays touchés par des attaques de Space Pirates jusqu’à présent sont la Russie, la Géorgie, le Serbie et la Mongolie.

Figure 1 : Connexions entre Space Pirates et d’autres groupes chinois. Source : Positive Technologies.

Plusieurs comptes détectés

L’article de l’entreprise de cybersécurité PT mentionne trois comptes :

  • Un compte CSDN créé en 2021 – « ma_de_hao_mei_le » [2] ;
  • Un compte GitHub « wqreytuk » [3] ;
  • Le compte de blog « wochinijiamile » créé en 2017 mais aujourd’hui supprimé [4].
Figure 2 : Capture d'écran du compte CSDN ma_de_hao_mei_le telle que présentée dans l'article, source : Positive Technology

Le blog CSDN « ma_de_hao_mei_le » contient trois sections :  « Divers »,  « Sécurité » ainsi qu’une section  « R&D ». Les articles de blog traitent de diverses questions de SecureCRT au codage en C++ en passant par l’utilisation d’IDA, l’authentification NTLM et les outils de virtualisation pour Mac et Windows (Parallels, VMWare etc.).

Figure 3: Capture d'écran du compte GitHub wqreytuk telle que présentée dans l'article,
source : Positive Technology

Le compte GitHub“wqreytuk” donne un aperçu des activités et intérêts de son/sa propriétaire. L’utilisat·eur·rice a notamment forké un dépôt sur le process hollowing et a produit plusieurs dépôts sur les sujets suivants :

  • La suppression de logs sur Windows (septembre 2023)
  • Le mappage de fichiers (septembre 2023)
  • Des outils en Python pour le mouvement latéral et l’authentification Kerberos

Figure 4 : Capture d'écran du compte CDSN supprimé telle que présentée dans l'article, source : Positive Technology

Parallèlement, le compte« wochinijiamile » permet de collecter encore un nom d’utilisateur – « include_heqile ».

L’analyse de ces trois comptes permet de collecter des informations complémentaires sur le/la développeu·r·se en question. Le compte GitHub révèle par exemple l’existence des éléments suivants :

  • Un compte X (anciennement Twitter) « @include233333 »
  • Une URL redirigeant vers « hxxps://144.34.164[.]217/ »

De plus, le compte X comprend un lien redirigeant vers le domaine 144[.]one.

L’ID Weixin (Wechat) est réutilisé sur plusieurs plateformes tantôt en idéogrammes tantôt transcrit en pinyinavec l’alphabet latin comme c’est le cas du second compte CSDN (supprimé)« wochinijiamile ». Cette version en latin est notamment utilisée pour le second compte CSDN supprimé – « wochinijiamile ».

Le pseudonyme« wochinijiamile » est une légère déformation d’une expression du jargon en ligne chinois « 吃你家大米了吗 » qui se traduit littéralement par « Ai-je mangé le riz de ta famille ? » et qui signifie « Je ne t’ai rien fait, pourquoi tu me déranges » et que l’on pourrait simplifier en « de quoi je me mêle ». Or, “Wo chi ni jia mi le” dit à l’inverse : “j’ai mangé le riz de ta famille” et signifie donc « Je t’ai fait quelque chose ». Ce pseudonyme résonne de fait comme un aveu… voire un avertissement.

Nous utilisons les comptes et pseudo obtenus pour mener des recherches simples et cartographier le plus précisément possible la présence en ligne de wochinijiamile. Les recherches et pivots à partir de ces comptes et pseudonymes permettent de lister les éléments suivants :

  • Une page Kanxue appartenant à « 12138 » – Kanxue étant un site spécialisé dans la cybersécurité – un pseudo également utilisé sur GitHub [5] ;
  • Un compte Bilibili utilisant le pseudo « 肥腰是猪 » [6]. Bilibili est une plateforme de partage de vidéos similaire à YouTube. La majorité du contenu posté par « 肥腰是猪 » est constitué de démonstrations techniques liées aux articles et publications de ma_de_hao_mei_le sur GitHub et CSDN. Une des vidéos sur SecureCRT mentionne d’ailleurs le repo GitHub sur le même thème [7] ;
  • Un compte Gitee (un équivalent de GitHub) [8] ;
  • Un compte sur la plateforme de blog 51CTO dont le pseudo combine ceux de X (include_) et de GitHub pour donner «include_12138 »[9].

Non seulement le compte utilise la même image que le compte CSDN et pointe vers le compte Weixin du wochinijiamile («我吃你家米了»), il fait de surcroît la publicité du blog 144[.]one [10]. Des éléments permettant d’appuyer, avec un niveau de confiance élevé, l’hypothèse que ce compte utilisateur appartient à la même personne.

Figure 5 : Le compte 51CTO, include_12138, pointant vers le compte Weixin « 我吃你家米了”.

Plus sérieusement : Le domaine

Deux éléments essentiels à l’investigation méritent d’être investigués : l’URL mentionnée sur la page GitHub de 12138 (hxxps://144.34.164[.]217) et le domaine mentionné dans les détails du compte X entre autres lieux 144[.]one.

L’URL dirige vers un blog appartenant à « 12138 ».

Figure 6 : Page de l’URL hxxps://144.34.164[.]217.

A partir de cette page, nous obtenons ces informations :

  • Une adresse mail QQ : 476522884[at]qq.com(NDc2NTIyODg0QHFxLmNvbQ==) ;
  • Un compte Weixin : 我吃你家米了 (qui se lit “wo chi ni jia mi le”).

Le pseudo Weixin est particulièrement intéressant dans la mesure où il est réutilisé sur plusieurs réseaux sociaux tantôt écrit en idéogrammes tantôt en transcription pinyin utilisant l’alphabet latin comme l’illustre le pseudonyme du second compte CSDN« wochinijiamile ».

Le lien « 友情链接 » (« liens amicaux »), mène directement sur la page du domaine 144[.]one qui est hébergé sur cette même adresse IP 144.34.164[.]217 [11].

Parmi ces « liens amicaux », deux noms réapparaissent : wochinijiamile et ma_de_hao_mei_le, les trois autres - A-gui (阿怪), Zhuge(注哥) et le Laboratoire de recherches en Cybersécurité Baihualin (白桦林网络空间安全实验室) nécessitant de plus amples recherches.


Figure 7 : Les “liens amicaux » du blog de 12138.


L’étau se resserre 

La poursuite des investigations sur les noms d’utilisateur de wochinijiamile et notamment « include_heqile », un pseudo collecté au début de l’investigation dans les détails du compte CSDN wochinijiamile, permet d’identifier quelques occupations personnelles. Le/la développeu·r·se s’est très probablement inscrit·e à divers défis cyber sous ce pseudonyme. 

Figure 8 : Information sur l’utilisateur include_heqilesur wechall[.]net.

Cette personne s’est inscrite par exemple sur  « Wechall » en 2018, ce qui soutient l’hypothèse que cette dernière testait ses capacités [12].

La même année, cette personne a participé à un CTF comme l’indique le site ctftime[.]org [13].

Figure 9 : Information about include_heqileon the training platform.

Comme le montre la Figure 9, include_heqile était étudiant de la Harbin University of Science andTechnology (HRBUST ou 哈理工) et les trois idéogrammes correspondant à son pseudo “heqile” semblent être “何其乐 » ou transcrits en pinyin HE Qile. 

HE Qile a, par ailleurs, créé un compte sur une plateforme d’entraînement en ligne en 2017 et l’a utilisé jusqu’en 2018. Nous savons donc que HE Qile aka Wochinijimile étudiait à l’Université de Harbin des Sciences et Technologies et développait ses compétences en cybersécurité en participant notamment à des entraînements et des CTF.

Nous émettons l’hypothèse selon laquelle HE Qile était membre de la classe de la HRBUST appelée « Network 16-2 (网络16-2) », comme indiqué dans les détails du compte (« 16-2网络-何其乐 »). Nous savons en effet que les classes de la HRBUST sont nommées selon ce schéma : « SpécialitéChiffre(Année?)-Numéro de classe ».                                                                                                

Le compte QQ indiqué dans les détails correspond à celui indiqué dans le Blog 12138.

Figure 10 : Capture d’écran du compte.

                                                             

Aussi, nous avons trouvé une mention de HE Qile entrant à l’Université de Harbin HRBUST en 2016 [14], dans une publication sur Weixin postée par un service de l’administration locale de Shangcai (Hena) [15]. Nous avons estimé qu’une personne nommée « HE Qile » entrant à l’Université HRBUST était suffisamment discriminant pour considérer que l’information était pertinente. Par ailleurs, l’année 2016 correspond à la chronologie globale puisque HE Qile commence à s’exercer en ligne l’année suivante.

Figure 11 : Capture d’écran de la publication de la"Shangcai Fabu".


Figure 12 : Publication de HE Qile qu’il/elle était élève à la HRBUST en mai 2018.

Nous considérons donc comme fortement probable que HE Qile est entré à l’Université de Harbin desSciences et Technologies en 2016 et qu’en mai 2018, include_heqile (akawochinijiamile) étudiait encore à la HRBUST. Une fois ces résultats obtenus, nous n’étions pas tout à fait satisfait·e·s puisque nous avions délaissé une partie des pistes rencontrées. Nous avons choisi d’entamer des recherches supplémentaires et dont les résultats – plutôt excitant -sont présentés ci-après.

Liens amicaux : Birkenwald Team

Un des liens indiqués dans le blog « 12138’s blog » a attiré notre attention.  

Un autre élément clef de l’investigation est le Laboratoire de recherche Baihualin « 白桦林网络空间安全实验室 » mentionné précédemment. Le lien redirige directement vers l’URL « hxxps://birkenwald[.]cn ». Il s’agit d’un blog avec peu d’éléments exploitables. Il contient néanmoins une section “amis” qui affiche trois avatars associés à des liens vers des ressources externes :

  • “Tr0jan” redirigeant vers l’URL: « hxxps:tr0jan[.]top »
  • “12138” redirigeant vers l’URL « hxxps://144[.]one »
  •   “孤客 (Gu ke)” redirigeant vers le blog « hxxps://blog.csdn[.]net/weixin_43781139 »

Les idéogrammes « 战队» accolés au nom « Birkenwald » montrent que le groupe est probablement une équipe de CTF. Cette hypothèse est rapidement vérifiée lors de nos recherches. Nous trouvons un article sur sohu[.]com publié le 19 octobre 2021 intitulé « l’équipe gagnante au challenge en sécurité des réseaux des étudiants de l’Université du Heilongjiang est un ‘chasseur’ à la recherche de trésors dans le labyrinthe des réseaux ». Cet article cite le nom « Birkenwald » en tant qu’équipe affiliée à l’Université de Harbin des Sciences et Technologies, or Harbin est la capitale du Heilongjiang. De plus, l’article indique que l’étudiant 尹鹭星 (YIN Luxing) serait le chef d’équipe. D’après un autre article de 2021, l’équipe aurait été fondée en 2015 [16].

La photographie ci-dessous présente, en plus de YIN Luxing (leader de l’équipe), deux autres personnes, WANG Jiyuan (王纪元) et LI Zhiyuan (李志远). Un autre article a été collecté sur la plateforme de micro-blogging Weibo publié en 2022 et mentionne un troisième nom de membre de l’équipe - HU Zhenhuang (胡振煌) [17]. Cette nouvelle information permet de considérer avec quasi-certitude que YIN Luxing est bien un élément central et stable de l’équipe et que des changements aux niveaux de ses membres peuvent s’opérer d’une année à l’autre. Le compte Weibo « Campus de Harbin » (哈尔滨校园) a permis de récolter les noms d’autres membres ponctuels de l’équipe :

  • 胡振煌 (HU Zhenhuang) en 2022 [18]
  • 罗昕蕊 (LUO Xinrui) en 2022 [19]
  • 山成伟 (SHAN Chengwei) en 2022 [20]
  • 莫德铭 (Mo Deming) en 2022 [21]

Par ailleurs, selon les publications de ce même compte Weibo, un enseignant de l’université accompagnerait les étudiants à travers les différentes compétitions, DI Jiqiang (翟继强), responsable du cours de « technologies informatiques » à la HRBUST [22].


Figure 13 : Les membres de l'équipe Birkenwald avec, au centre, YIN Luxing.

Le nom YIN Luxing est à garder en tête dans la suite de l’investigation. Nous n’avons pas pu le confirmer par ailleurs mais l’équipe aurait participé à 22 CTF entre 2020 et 2023.

L’enregistrement du domaine “birkenwald[.]cn”, et sans surprise, est au nom de 尹鹭星 (YIN Luxing), le chef d’équipe. Nous identifions un autre domaine à son nom déjà évoqué plus haut parce que mentionné dans la liste des « amis » sur le blog de Birkenwald : tr0jan[.]top. L’enregistrement confirme la localisation de YIN Luxing : la province du Heilongjiang.

Extrait de l'enregistrement WHOIS du domaine birkenwald[.]cn.

Une adresse courriel est relevée (ylx294491090[at]163[.]com) mais n’a pas permis de pivoter efficacement.

Extrait de l'enregistrement WHOIS du domaine tr0jan[.]top

Enfin, le site tr0jan[.]top est un autre blog dont les publications sont spécialisées dans les CTF et la cybersécurité.

Hormis les CTF, l’université organise des compétitions en collaboration avec des institutions et des entreprises. En septembre 2023, la HRBUST a organisé une compétition avec le Centre du Heilongjiang du CNCERT (China National Cyber Emergency Response Team), le Bureau pour la Cybersécurité et l’Informatisation du Comité de Parti du Heilongjiang, le Département de la Sécurité publique de la province et la société privée DAS Security (杭州安愃信息技术股份有限公司). Cette dernière collabore avec le ministère de la Sécurité publique, le Bureau de la Central Cyberspace Affairs Commission (中央网络安全和信息化委员会办公室) et le Bureau des Affaires d’Hong Kong et Macao du Conseil des Affaires d’Etat (国务院港澳事务办公室). Surtout, l’objectif affiché de cet événement était d’identifier et de former des talents.

Enfin, l’université autorise quelques étudiants à prendre part à des activités militaires pendant leur temps d’études, et, selon un rapport de 2023, un des étudiants ayant pris part à ce programme appartenait à l’Institut des Sciences et Technologies informatiques (计算机科学与技术学院) de la HRBUST [23].

Pour aller plus loin

Nous savons que HE Qile est probablement entré à la HRBUST en 2016 et qu’en 2017, include_heqile (connu également sous « wochinijiamile ») était toujours étudiant à la HRBUST.            

                              

Figure 14 : Photo de la présentation personnelle de YIN Luxing sur le site de l'Université HRBUST.

En 2023, YIN Luxing était étudiant en master à l’Institut des Sciences et Technologies informatiques (计算机科学与技术学院) de la HRBUST et il a été exempté d’examens finaux [24]. Autrement dit, YIN Luxing a fréquenté la même université que HE Qile.

En d’autres termes, malgré le fait que HE Qile devrait être un peu plus âgé que YIN Luxing, ils ont pu se rencontrer à l’université et ce d’autant plus qu’ils partagent un attrait pour les CTF.

Nous savons que YIN Luxing et deux de ses amis, WANG Jiyuan (王纪元) et HU Zhenhuang (胡振煌), ont pris part en tant qu’équipe (Birkenwald) à un challenge de cybersécurité organisé par la province du Heilongjiangen 2022 et qu’ils ont gagné le premier prix [25]. Et YIN Luxing est un personnage d’autant plus intéressant qu’il est membre du Parti et dispose d’une expérience militaire qu’il souligne dans sa présentation personnelle sur la page de l’université [26].

Figure 15 : Capture d’écran de la liste d’étudiants exemptés d’examens.

Enfin, le travail de recherche autour de YIN Luxing permet d’observer que ce dernier a également fondé en novembre 2022 une entreprise, la Espico Information Technology (济南艾斯皮克信息科技有限公司).Cette dernière a été enregistrée sous le numéro de crédit social 91370100MAC47R2M73 et avec un capital initial de 100 000 RMB. YIN Luxing possède 30% des parts de cette entreprise et y occupe le poste de contrôleur. Toutefois, le PDG de cette entreprise est une autre personne, ZHANG Guorong (张国荣), qui possède 40% des parts de l’entité. WANG Jiyuan, déjà identifié plus haut comme membre de l’équipe « Birkenwald » possède probablement les 30% restant des parts de l’entreprise. Le nom de l’entreprise mentionne la ville de Jinan, capitale de la province du Shandong, ce qui pourrait indiquer un changement dans la localisation de YIN Luxing.

Conclusion

Nous avons entamé cette investigation sur « wochinijiamile » à la lecture d’un article de PositiveTechnologies (PT). En suivant les pistes qui y étaient données, nous avons remonté la trace de include_heqile jusqu’à cet étudiant de la HRBUST, HE Qile. Nous avons également trouvé d’autres comptes partageant le même intérêt que HE Qile pour la cybersécurité et avons pu identifier certains de ces comptes, notamment celui du chef de l’équipe CTF « Birkenwald » affiliée à l’Université de Harbin des Sciences et Technologies : YIN Luxing également élève de l’université.

Ces investigations ont ainsi permis de tracer les contours d’un vivier d’experts en cybersécurité gravitant probablement autour du groupe Space Pirates, et donnent un aperçu de l’écosystème cyber chinois. Ce ne serait pas la première fois que des étudiants, des laboratoires et des universités sont impliqués dans des activités de groupes chinois.

Nous espérons pouvoir vous fournir de plus amples détails dans de prochaines publications.

Annexes

Indicateurs : comptes et identifiants - Nom & Elements liés

 

NOTE DE BAS DE PAGES

[1] https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/space-pirates-tools-and-connections/
; https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/space-pirates-a-look-into-the-group-s-unconventional-techniques-new-attack-vectors-and-tools/

[2] hxxps://blog.csdn[.]net/ma_de_hao_mei_le ; CSDN est une plateforme chinoise pour partager du contenu, publier des articles et des blogposts. 

[3] hxxps://GitHub[.]com/wqreytuk 

[4] hxxps://wochinijiamile.blog.csdn[.]net/ 

[5] hxxps://bbs.kanxue[.]com/homepage-953537.htm

[6] hxxps://space.bilibili[.]com/245095958 

[7] hxxps://www.bilibili[.]com/video/BV1Fx4y197m7/

[8] hxxps://gitee.com/wochinijiamile

[9] hxxps://blog.51[.]com/144dotone

[10] hxxps://blog.51cto[.]com/144dotone/4941666

[11] hxxps://144[.]one/you-qing-lian-jie.html

[12] hxxps://www.wechall[.]net/ranking/page-448

[13] hxxps://ctftime[.]org/stats/2018

[14] hxxps://mp.weixin[.]qq.com/s__biz=MzI1MTMwOTc0Mw==&mid=2247484754&idx=2&sn=52026d444aee35a843bab9f8c0c7fe
71&chksm=e9f5be92de823784c5371b588f5927465721b0b723f29ba736d24841225604cae328b1cccfc2&scene=27

[15] hxxps://www.shangcai.gov[.]cn/web/front/news/news.php

[16] hxxps://www.chinahlj[.]cn/news/520163.html

[17] hxxps://m.weibo[.]cn/detail/4812936789102680

[18] hxxps://m.weibo[.]cn/detail/4812936789102680

[19] hxxps://m.weibo[.]cn/detail/4812945656383689

[20] Ibid.

[21] hxxps://m.weibo[.]cn/detail/4812939716465332

[22] hxxps://m.weibo[.]cn/detail/4812939716465332 ; hxxp://graduate.hrbust.edu[.]cn/_upload/article/files/04/c3/8ded0bdf416e96cd7343bd89b9b0/0da23d46-efa3-49e8-9ec7-635c7d68d494.pdf

[23] hxxps://baijiahao.baidu[.]com/; hxxp://hrbust.edu[.]cn/info/1360/23342.htm

[24] hxxp://jwzx.hrbust.edu[.]cn/homepage/infoSingleArticle.do

[25] hxxps://www.hlj.gov[.]cn/hlj/c107856/202209/c00_31368706.shtml

[26] hxxp://jiuye.hrbust.edu[.]cn/jyxf/1531.jhtml

Partager l'article :

Your OWN cyber expert.