Qui est I-SOON
I-SOON est une entreprise privée, fondée à Shanghai en 2010. Elle compte environ 70 salariés et 3 filiales. Sa mission, comme indiqué sur son site officiel, est de devenir « une force robuste pour la défense nationale, dotée d’un sens aigu des responsabilités politiques et d’un esprit de haute responsabilité à l’égard du Parti et du peuple ». L’entreprise est un fournisseur certifié pour le Bureau de Défense et de Cyber Sécurité du Ministère de la Sécurité Publique (MPS) pour fournir des « outils, technologies et équipements ». Elle a reçu l’équivalent d’une habilitation de sécurité. Ses clients sont majoritairement gouvernementaux, essentiellement des bureaux et des départements de sécurité publique de diverses provinces et régions autonomes. Le rapport complet de nos chercheurs contient une liste de clients en annexe.

Les documents ayant fuité reflètent notamment une organisation active depuis plus de 10 ans, ayant fourni des services d’intrusion et d’espionnage, ainsi que les données associées, provenant de nombreux pays à travers 5 continents. Nos chercheurs estiment que les documents sont crédibles et authentiques, mais qu’il s’agit majoritairement d’informations commerciales, qui ne sont pas nécessairement exhaustifs et peuvent par leur nature comporter un certain degré d’embellissement des faits.

Des services et outils sur étagère
La société I-SOON propose toute une palette d’outils et services sur étagère : les accès à une organisation, via malware, les documents récupérés concernant une entreprise ou organisation, mais aussi une offre comportant une analyse complète de ces documents récupérés. Ils agissent comme une société de renseignement et proposent toute la chaine : établissement de l’accès, extraction du renseignement et rédaction de notes de synthèse.

L’entreprise agit réactivement, en fonction de la demande, mais également proactivement, en pénétrant des systèmes et collectant des données, qu’elle propose ensuite à ses prospects. En plus d’exercer des actions cyber depuis leurs infrastructures, ils envoient également des experts chez leurs clients, afin qu’ils puissent mener des opérations depuis les infrastructures et entités de ceux-ci. Cela témoigne de la porosité, voire du flou, entre les sociétés privées et les services publics chinois.

Le catalogue d’I-SOON comporte une série de malwares destinés à leurs clients, mais aussi des backdoors. Les conversations des fichiers analysés laissent à penser que l’entreprise fait appel à des prestataires extérieurs et ne développe pas nécessairement les malwares qu’elle utilise ou commercialise. Il est particulièrement intéressant de constater que le catalogue d’I-SOON ne comporte aucune vulnérabilité logicielle (0 day). L’étude des outils proposés indique qu’ils commercialisent surtout des outils open-source repackagés afin de les rendre plus faciles à utiliser.

Sophistication des outils relative – le plus gros défi n’étant pas de pénétrer les systèmes des cibles, mais de traiter la quantité d’information récoltée
Le cœur du métier d’I-SOON est de développer de nombreuses plateformes et systèmes d’analyse pour aider les clients, et probablement également l’entreprise elle-même à traiter la donnée volée. Ils sont spécialisés également dans la facilitation du travail d’intrusion, et dans l’organisation d’opérations cyber.

Toute l’offre de l’entreprise I-SOON, n’est pas tellement la sophistication des méthodes d’intrusion, surtout à base de phishing, mais plutôt leur capacité de traitement et d’analyse d’énormes quantités de données via la création de leurs propres outils de business intelligence, utilisant l’IA et le Deep Learning. Il semble que plusieurs plateformes, avec la même architecture, aient été développées pour adresser plusieurs verticales dédiées de collecte d’information.
Cela rejoint un certain nombre de « prévisions » établies par nos chercheurs, d’utilisation des capacités d’IA par des acteurs de la menace, non pas pour collecter, mais pour traiter, trier et filtrer les données dérobées.

Victimologie internationale et très variée
L’entreprise I-SOON n’est pas spécialisée dans la collecte d’un type particulier d’informations. Ses activités vont de la surveillance domestique (collecte d’information sur des minorités ethniques telles que les Ouighours, piratage de plateformes de vente de drogue ou de paris en ligne, etc.), à l’espionnage, au profit de la Chine. L’entreprise a dérobé des giga-octets de données : des mails, les données personnelles, des documents de compagnies aériennes, des listes d’appels, du renseignement militaire, d’éducation, et de think tank.

La victimologie d’I-SOON est extrêmement large, et internationale. C’est particulièrement impressionnant compte tenu de la taille de l’entreprise et de la faible sophistication de ses outils d’intrusion. Opérations de surveillance domestique mises à part, le plus grand nombre de victimes se trouve en Asie, autour de la Chine. En Europe, le Royaume-Uni est le pays comptant le plus grand nombre de victimes (de nombreux Ministères notamment). En France, l’unique victime répertoriée dans les fichiers est Sciences-Po. Les autres victimes européennes se trouvent en Roumanie et en Macédoine.

Liens avec attaques APT préalablement documentées
Après la découverte des activités complètes d’I-SOON, des liens ont pu être faits avec des campagnes préalablement attribuées à des APT, par d’autres entreprises de cybersécurité.

Ivan Kwiatkowski, Lead Threat Researcher chez HarfangLab explique : « Cette fuite de données nous offre un aperçu unique du fonctionnement interne d’un groupe APT, et de la structure de l’écosystème cyber chinois. Les catalogues de produits de la société sont particulièrement intéressants, car ils montrent que le défi auquel fait face I-Soon n’est pas de pénétrer ses cibles, mais de parvenir à traiter la quantité de données volées. Malgré des méthodes d’une sophistication limitée, les attaquants ont été en mesure de mener des campagnes globales et massives affectant des cibles de haut niveau sur tous les continents pendant une décennie. Pour les défenseurs, ce constat devrait constituer un électrochoc. »