Comme promis, ce second billet consacré à la Threat Intelligence est une longue interview de Félix Aimé (@felixaime), un ami que je connais depuis presque 8 ans et avec qui j’ai eu l’honneur de travailler à ses débuts 🙂
Il est devenu au fil du temps une référence française en matière de Threat Intel. Il va nous éclairer sur sa vision de cette discipline et comment il la pratique quotidiennement depuis plusieurs années déjà. Félix reviendra également pour nous sur l’évolution des modes opératoires des attaquants et des défis qui nous attendent pour les traquer et anticiper leurs actions.
Partie 2/2Que penses-tu du partage de renseignement sur les cybermenaces ? On dit souvent qu’il est indispensable pour lutter contre les attaquants. Mais parfois en partageant publiquement, l’effet n’est-il pas inverse (exemple : un blogpost qui dévoile des erreurs réalisées par un attaquant ou un élément caractéristique permettant de suivre son infrastructure) ?
Je suis effectivement très mitigé sur le partage de renseignements sur les menaces de manière ouverte aux quatre vents sur Internet ou en conférence. Le partage entre les différents acteurs (entreprises, gouvernements, éditeurs etc.) est indispensable mais devrait être limité à des acteurs de confiance afin de pouvoir suivre et détecter les attaquants dans la durée. Le projet MISP avec des groupes de partage est d’ailleurs parfait pour cela. Dans des publications plus marketing que réellement informatives, certains éditeurs se vantent allégrement sur les « pivots » mis en œuvre dans leurs investigations au lieu de simplement exposer la menace et certains indicateurs de compromission associés. Suite à ces publications – qui constituent des audits gratuits pour les attaquants – nous voyons beaucoup d’acteurs démanteler des parties de leur infrastructure ou changer leurs codes malveillants en quelques jours. Le travail pour retrouver ensuite le mode opératoire, et découvrir de nouvelles pistes de corrélation peut être ensuite très conséquent. C’est un jeu constant du chat et de la souris. Ce jeu cessera uniquement lorsque les éditeurs auront pris conscience de l’impact que peut avoir certaines publications sur le suivi de modes opératoires, et donc, la sécurité.
Quelles sont les dernières tendances en matière de cyber menaces ? Depuis le début de ta carrière, comment ont évolué les modes opératoires des groupes d’attaquants ?
J’ai commencé à travailler dans l’investigation sur des acteurs œuvrant dans le cyber espionnage et sabotage en 2013. En quelques années, j’ai pu percevoir beaucoup d’acteurs muter au grès des évolutions technologiques, géopolitiques et des publications sur eux. Je vais séparer ma réponse en deux parties. Concernant les « tactiques » propres aux attaquants. Contrairement aux années 2000-2010, les entités à l’origine des modes opératoires que nous traquons ont compris très vite que leur infrastructure et leurs codes malveillants permettait de corréler leurs campagnes d’attaques. De plus, suite à certaines fuites de données (Snowden – 2013, Hacking Team – 2015, ShadowBrokers – 2016, Vault7 – 2017 etc.) elles ont également compris qu’elles étaient-elles mêmes vulnérables à des « insiders » ou des piratages. Plusieurs stratégies ont été mises en œuvre par certains acteurs pour limiter de possibles corrélations. Tout d’abord, au niveau des codes malveillants, nous voyons un recours à des outils non discriminants de type Metasploit, Empire ou CobaltStrike par plusieurs modes opératoires historiques. Ceci permet aux attaquants de se noyer dans le « bruit » de la cybercriminalité et des tests d’intrusion standards. D’autres ont opté pour des tactiques d’intrusion n’utilisant aucun code malveillant dans le réseau de la victime finale. D’autres encore utilisent des codes « one-shoot », très simples – de quelques lignes – mais qui font le travail. Les vecteurs d’intrusion ont peu changé. De plus en plus de modes opératoires semblent chercher à utiliser des techniques simples et efficaces (compromission via VPN, compromission frontale, supplier compromise etc.). Ceci peut être associé à deux facteurs. Tout d’abord cela est moins visible – pas d’interaction avec un utilisateur du système d’information, source de l’attaque légitime etc. En outre, c’est beaucoup plus stable en terme d’exploitation. En effet, les technologies mises en œuvre en protections mémoire et sandboxing par les éditeurs compliquent l’exploitation de vulnérabilités jusqu’à l’exécution de code sur le poste de travail de la victime. Côté infrastructure d’attaque, nous trouvons de plus en plus d’infrastructures éphémères et cloisonnées par victimes ou par étape d’attaque. En outre, beaucoup d’attaquants utilisent aujourd’hui le terrain de jeux que leur procurent les IoT, routeurs personnels et autres joyeusetés non mises à jour, ni supervisées pour se constituer en quelques minutes des réseaux de serveurs mandataires. Enfin, certains acteurs écoutent passivement les flux internet. A quoi bon compromettre un système d’information quand on peut écouter et interagir avec un code malveillant tiers déjà présent dans ce dernier ? Cela fait une dizaine d’années que certaines nations développent ces capacités d’interception et d’interaction : technique connue sous le nom de « 4th Party Collection ». De plus en plus de pays découvrent dans l’interception de flux un véritable eldorado, tant pour du renseignement antérieur à une attaque mais aussi pour l’intrusion ou l’exfiltration. L’ensemble de ces techniques permet de restreindre les pivots possibles pour lier des éléments techniques entre eux afin de constituer un mode opératoire. Toutefois, les attaquants font toujours des erreurs et certaines sont découvertes. Concernant les « menaces » On assiste depuis 2012 à une hausse des attaques par sabotage dans le cadre de crises géopolitiques et de compromissions standard. Le sabotage est devenu une attaque comme une autre qui peut être utilisée dans un but de dissuasion et d’avertissement, de déstabilisation mais également pour couvrir les traces d’une précédente compromission. Nous voyons de plus en plus d’acteurs se faire passer pour des groupes cybercriminels, par exemple avec Wannacry, utilisé comme élément de (cyber) dissuasion en marge des essais nucléaires et missiles balistiques nord-coréens. L’espionnage et les tentatives de déstabilisation économiques grâce au vecteur « cyber » n’ont jamais cessé et ont de beaux jours devant eux. Malgré quelques accords internationaux, des modes opératoires issus de multiples pays continuent leur pillage en R&D, leurs tentatives de délit d’initié et fausses rumeurs. Nous voyons une hausse d’acteurs que l’on pense issus de sociétés privées dans ce domaine, parallèlement à certains modes opératoires historiques qui continuent inlassablement leurs basses œuvres. Côté compromission de systèmes industriels, malgré ce qui est dit par beaucoup d’experts qui ne se sont pas remis de l’épisode Stuxnet (2009), peu de cas « intéressants » ont été découverts. L’extrême majorité des cas recensés utilisent aucun code malveillant spécifique à ce milieu-là et sont souvent réalisés en accédant à l’IHM après quelques rebonds et redirections de flux au sein du réseau… ou simplement en accédant à services écoutant aux quatre vents sur Internet. Enfin, du côté espionnage diplomatique et politique, beaucoup de pays ont développé ces quelques dernières années de véritables capacités offensives, tant à l’encontre de dissidents politiques, de partenaires ou de nations adverses. Pour tous ces cas de cyber espionnage, qu’ils soient politiques ou économiques, il faut rappeler qu’en tant qu’éditeur, nous voyons uniquement ces tentatives d’attaques par le prisme « offensif ». Nous ne voyons pas l’espionnage « passif », réalisé grâce à l’interception de flux, qui semble être très conséquent.
Et pour finir, la question qui tue. Quid de l’attribution ? Est-ce que cette évolution des modes opératoires des groupes d’attaquants complexifie la différenciation entre les différents acteurs de la menace ?
Kaspersky Lab. a choisi de ne pas attribuer à un acteur précis un mode opératoire X ou Y. Des fois, nous associons un mode opératoire à la langue que semble parler les opérateurs mais notre réponse à cette question s’arrête là. Bien que possible techniquement, l’attribution d’une attaque demande beaucoup de temps afin de relever certaines erreurs des attaquants. Notre priorité c’est avant tout la protection de nos clients face à une menace, pas savoir d’où vient cette menace. Nous faisons en revanche une attribution que je définirai de « technique ». C’est à dire que nous lions des éléments techniques et contextuels entre eux afin de constituer une sorte de « cluster d’activité ». Lorsqu’une nouvelle campagne d’attaque est détectée, nous essayons de la lier à un cluster connu, sinon, nous en créons un nouveau avec un joli nom. Pour conclure, on peut dire que l’attribution d’un mode opératoire est de plus en plus complexe et incertaine. Le futur de la Threat Intelligence et de l’attribution va devoir voir plus loin que le fameux duo historique composé de l’étude des codes malveillants et de l’infrastructure. Les corrélations sur la victimologie, les chronologies comparées des rythmes opérationnels, ainsi que d’autres éléments – pour certains techniques – souvent ignorés des modèles existants de ce domaine ont de beaux jours devant elles.
La bla bla habituel de ce pseudo milieu d’experts…experts en marketing essentiellement.