Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

NASA Employees Duped in Chinese Phishing Scheme Targeting U.S. Defense Software

1 minute de lecture

Mis à jour :

Espionnage industriel via ingénierie sociale : le cas Song Wu

Entre 2017 et 2021, Song Wu, un ingénieur de la société d’État chinoise AVIC, a orchestré une vaste campagne de spear-phishing ciblant des employés de la NASA, des agences de défense américaines (Air Force, Navy, Army), ainsi que des universités et des entreprises privées. En se faisant passer pour des collègues ou des ingénieurs américains, il a réussi à obtenir des logiciels de modélisation aérospatiale et des codes sources sensibles, violant ainsi les lois sur le contrôle des exportations.

Points clés :

  • Mode opératoire : Utilisation de l’usurpation d’identité pour établir des relations de confiance avec des experts du secteur de la défense.
  • Cibles : Chercheurs et ingénieurs possédant des accès à des technologies critiques.
  • Objectif : Accaparer des technologies sensibles pour le développement d’armes tactiques et la conception aérodynamique.
  • Statut juridique : Song Wu est sous le coup d’un acte d’accusation pour fraude électronique et usurpation d’identité aggravée (14 chefs d’accusation). Il figure désormais sur la liste des personnes les plus recherchées par le FBI.

Vulnérabilités :

  • Il ne s’agit pas d’une vulnérabilité logicielle (CVE), mais d’une faille humaine : la vulnérabilité aux attaques d’ingénierie sociale sophistiquées (« Human Hacking ») et un manque de vigilance face aux demandes d’accès aux données export-contrôlées.

Recommandations :

  • Vigilance accrue sur les requêtes répétitives : Se méfier des demandes insistantes ou répétées pour les mêmes logiciels sans justification professionnelle claire.
  • Vérification des processus financiers : Signaler systématiquement les méthodes de paiement inhabituelles ou les tentatives de contournement des circuits de paiement officiels.
  • Respect strict des règles d’exportation : Renforcer la formation des employés sur les lois relatives au contrôle des exportations et sur les risques liés au partage de technologies critiques avec des tiers, même sous couvert d’une identité familière.
  • Authentification des échanges : Valider systématiquement l’identité des interlocuteurs demandant l’accès à des données sensibles via des canaux de communication officiels et sécurisés.

Source

Vous pourriez aimer