Analyse

Le Cyber Threat Handbook : tour d'horizon des attaquants les plus importants dans le paysage de la menace cyber mondiale

Le 27 février 2020 par Noufelé Tatou

Véritable manuel compilant les méthodologies et les divers profils des attaquants les plus menaçants, le Cyber Threat Handbook (CTH) résulte de la collaboration entre deux acteurs de la Cyber Threat Intelligence (CTI) : Verint, entreprise israélienne reconnue mondialement dans le domaine, et Thales, acteur français international. Nicolas Quintin, analyste en charge des études de CTI chez Thales, est venu présenter le 4 février dernier le CTH afin de donner un aperçu concret de sa conception et de son contenu.

L’ouvrage se concentre dans un premier temps sur 66 groupes d’attaquants jugés « de haut niveau » par les analystes. Ce sont ceux qui ont démontré le plus haut niveau de performance dans leurs campagnes d’attaques et dans la construction de leurs modes opératoires. On retrouve des profils divers, notamment des groupes supposément mandatés par des États (qui comptent pour 49% des groupes étudiés), des hacktivistes, des cyber-terroristes et des cybercriminels. Ce panel a été établi sur la base de 490 attaques perpétrées depuis une décennie. On constate que le profil d’un groupe est largement corrélé à celui de ses victimes ainsi qu’à son mode opératoire. Les cybercriminels auront par exemple tendance à s’attaquer à des institutions financières et à préférer un large panel de cibles pour maximiser les chances de retour sur investissement. Les groupes étatiques choisissent de leur côté leurs victimes dans des buts d’espionnage, de contre-espionnage ou de sabotage.

 

Parmi les campagnes d’attaque prises en référence pour le CTH, 238 ciblaient des acteurs gouvernementaux ou de défense et 187 des acteurs financiers. Les campagnes, par définition, regroupent plusieurs attaques de même nature servant une stratégie unique. Les autres secteurs se partagent les 65 campagnes d’attaques restantes. Ces chiffres sont révélateurs des compétences des groupes les plus dangereux. Les attaquants évoluant en même temps que les défenseurs, leurs modes opératoires changent. On assiste à l’émergence de nouvelles tendances telles que le Malware-as-a-Service (Maas) qui consiste à mettre un programme malveillant en vente directe, ce qui permet au concepteur de rentabiliser son travail tout en limitant son exposition aux autorités.

 

Dans un second temps, M. Quintin a insisté sur les processus de CTI permettant de mieux connaître les attaquants. La phase d’identification n’est pas toujours évidente car les grandes catégories dans lesquelles on les répartit selon leur nature se recoupent parfois. D’autre part, obtenir une preuve formelle relève souvent de l’impossible lorsque l’attaquant dispose de moyens importants. Il est nécessaire d’avoir une méthodologie reposant sur un faisceau d’indices pointant vers une même direction pour obtenir l’hypothèse la plus plausible sur l’origine de l’attaque. 

Il s’agira par exemple d’étudier les horaires des différentes phases pour déterminer la zone géographique où elles coïncident avec les horaires de bureau. On pourra également tirer beaucoup d’informations de l’analyse technique du matériel pendant et après l’attaque. Les attaquants ont des habitudes et des marques distinctives qui constituent une forme d’empreinte digitale permettant de les reconnaître. Certains laissent même parfois volontairement des indices pointant dans leur direction sans les incriminer directement. Tous ces éléments permettent aux analystes CTI de Thales de construire des règles de détection que leurs clients peuvent implémenter pour se défendre plus efficacement. Cette détection opérationnelle sur la base de renseignements accumulés est relativement spécifique à Thales, la majorité des acteurs de la CTI ne réalisant pas ce type d’étude. 

 

Enfin, l’analyste en CTI soulève deux cas d’étude permettant d’illustrer ces différents concepts. 

Le premier concerne un groupe nommé Xenotime, que la compagnie FireEye associe à un institut de recherche moscovite. Son malware, baptisé Triton, a pris pour cible une centrale pétrochimique en Arabie Saoudite. Le groupe a réussi à infiltrer le système de contrôle industriel (ICS) de la centrale. Ce système dénommé Triconex a été conçu par le groupe Allemand Schneider Electric et est largement répandu dans de nombreuses centrales à travers le monde (15 000 systèmes implémentés dans 80 pays). Il est réputé pour sa fiabilité. Grâce notamment à l’exploitation d’une « faille humaine », les hackers ont réussi à subtiliser les identifiants d’un poste administrateur. Le groupe a ensuite traversé la zone démilitarisée constituant le sas entre les réseaux IT et OT de la centrale via l’utilisation d’un 0-day (vulnérabilité qui n’est pas encore connue au moment de son utilisation et donc non-patchée) pour compromettre les contrôleurs industriels avant de s’implanter dans le système pendant une année complète. Les attaques perpétrées par la suite sur cette centrale ont échoué. Il est remarquable de relever que l’opération a été orchestrée sur plusieurs années entre 2014 et 2017. En conclusion, cette attaque peut être considérée comme fructueuse, le but n’étant pas de saboter la centrale mais plutôt de récupérer de l’information sur le système Triconex en place. L’objectif fut atteint car le groupe réussit à faire sortir une large quantité d’informations sensibles.

Le deuxième cas illustre l’évolution de l’écosystème des attaquants. Le groupe Mummy Spider est connu pour utiliser de manière soutenue le malware Emotet. Sa particularité est de télécharger d’autres malwares sur les machines de ses cibles (loader). Son seul objectif est de s’infiltrer et d’installer une persistance dans le système ciblé. Il le fait extrêmement bien et avec discrétion. Il a été prouvé que des malwares au pouvoir destructeur conséquent tels que Clop, Ryuk ou Locker Goga sont liés directement ou indirectement à Emotet. Cet exemple montre qu’il existe une forme de coopération entre les différents groupes d’attaquants et une montée du phénomène de MaaS. Un groupe peut s’appuyer sur le travail d’un autre pour réaliser ses campagnes. Cela pose une fois de plus le problème de l’identification car faire le lien entre un malware et son auteur n’est alors plus suffisant pour désigner avec certitude le responsable d’une attaque.

 

Noufelé Tatou

Pour le Club cyber