Quel groupe de pirates informatiques s’en prend au réseau de votre entreprise ? Ne jouez pas aux devinettes, vérifiez !

Nous avons lancé une nouvelle solution qui permet aux entreprises d’analyser les ressemblances entre les codes et d’obtenir des preuves techniques lorsqu’elles recherchent le responsable d’une APT.

Il y a environ quatre ans, la cybersécurité devenait un pion de l’échiquier de la géopolitique. Alors que les politiques de tous les partis et de toutes les nationalités se montraient du doigt et se rejetaient la faute d’opérations hostiles de cyber-espionnage, en parallèle, et apparemment sans la moindre ironie, ils augmentaient la réserve d’armes outils offensifs informatiques de leur pays. Les entreprises indépendantes de cybersécurité, prises entre deux feux à cause de ces manigances géopolitiques, ont toutefois les capacités et le courage de révéler ces absurdités très dangereuses.

Pourquoi ? C’est très simple.

Tout d’abord, « cyber » a été et est depuis le début un terme cool, romantique, glamour et lié à la science-fiction. Il est assez vendeur, non seulement pour les produits mais aussi pour la presse. Il est populaire, même auprès des politiques. C’est aussi une distraction utile, grâce à son côté cool et tendance, lorsqu’il faut détourner l’attention, et c’est souvent le cas.

Ensuite, « cyber » est vraiment un terme geek. La plupart des gens ne comprennent pas en quoi il consiste. Par conséquent, les médias, lorsqu’ils doivent couvrir une actualité ayant un lien avec ce sujet, ou lorsqu’ils cherchent à obtenir plus de visites sur leur site, peuvent écrire tout et n’importe quoi, et la plupart des choses qu’ils racontent ne sont pas vraiment exactes (ou sont complètement fausses). Peu de lecteurs s’en rendent compte. Vous avez donc de nombreux articles dans la presse qui disent que le groupe de pirates informatiques de tel ou tel pays est responsable d’une certaine cyberattaque embarrassante, coûteuse, préjudiciable ou encore scandaleuse. Y-a-t-il quelque chose de vrai dans tout cela ?

Nous nous en tenons aux attributions techniques. C’est notre devoir et c’est ce que nous faisons en tant qu’entreprise.

En général, il est difficile de discerner le vrai du faux. Cela étant dit, est-il vraiment possible d’attribuer avec précision une cyberattaque à un groupe ?

La réponse se divise en deux parties :

D’un point de vue technique, les cyberattaques possèdent un ensemble de caractéristiques spécifiques, mais le système d’analyse impartial ne peut que déterminer à quel point une attaque ressemble au travail de tel ou tel groupe de pirates informatiques.

Pourtant, la probabilité que le groupe en question appartienne aux renseignements militaires de la sous-unité 233, au groupe pour les projets de recherche avancée de défense ou à l’unité opérationnelle des capacités stratégiques conjointes et de la réduction des menaces (toutes ces institutions sont factices, inutiles de faire une recherche sur Google)… est un problème politique. Dans ce cas, l’éventualité d’une manipulation factuelle s’approche des 100 %. L’attribution peut être technique, établie à partir de preuves et exacte, ou bien… relever de la voyance. C’est pourquoi nous laissons les médias s’en occuper. Nous restons bien l’écart.

En attendant, le pourcentage d’insectes politiques qui se passent de la pommade à base de faits de cybersécurité pure se multiplie lorsque la date de certains événements politiques clés approche. Oh, exactement comme celui prévu dans cinq mois !

Le combat est beaucoup plus facile si nous connaissons l’identité du cybercriminel : la réponse aux incidents peut être déployée sans encombre et avec un risque minimum pour l’entreprise.

Donc oui, nous évitons à tout prix l’attribution politique. Nous nous en tenons à la partie technique. En réalité, c’est notre devoir et c’est ce que nous faisons en tant qu’entreprise. Nous le faisons mieux que n’importe qui, en toute modestie. Nous suivons de près tous les grands groupes de pirates informatiques et leurs opérations (plus de 600 d’entre elles) et ne faisons pas attention à leur éventuelle orientation politique. Un voleur reste un voleur et sa place est en prison. Maintenant, plus de 30 ans après être entré en jeu et avoir collecté en continu de nombreuses données sur les actes numériques répréhensibles, nous sommes enfin prêts à partager tout ce que nous avons obtenu, de façon convenable.

L’autre jour, nous avons lancé un nouveau service exceptionnel pour les experts en cybersécurité. Il s’agit de Kaspersky Threat Attribution Engine. Ce produit analyse les fichiers suspects et détermine quel groupe de pirates informatiques pourrait être à l’origine de la cyberattaque. Le combat est beaucoup plus facile si nous connaissons l’identité du cybercriminel puisque cela nous permet de prendre des contre-mesures informées.  Des décisions peuvent être prises, un plan d’action peut être élaboré, les priorités peuvent être établies et, de façon générale, la réponse aux incidents peut être déployée sans encombre et avec un risque minimum pour l’entreprise.

Interface de Kaspersky Threat Attribution Engine

Interface de Kaspersky Threat Attribution Engine

Comment est-ce possible ?

Comme je l’ai déjà dit, les cyberattaques présentent de nombreuses caractéristiques purement techniques, autrement dit des  » signaux  » : heure et date de création des fichiers, adresses IP, métadonnées, exploits, fragments de code, mots de passe, langue, normes relatives au nom des fichiers, débogage, outils d’offuscation et de chiffrement, etc. Analysées de façon individuelle, ces caractéristiques ne sont utiles que pour les (a) politiques, qui accusent leurs adversaires sur la scène internationale ou renforcent des intentions cachées, ou les (b) mauvais journalistes qui cherchent à avoir un scoop international. Ce n’est que toutes ensembles que nous pouvons savoir à quel groupe de pirates informatiques elles appartiennent.

De plus, la contrefaçon ou l’imitation d’un signal n’a rien de compliqué.

Par exemple, les cybercriminels du groupe Lazarus semblent avoir écrit certains mots russes en caractères latins dans leur code binaire implanté. Pourtant, la construction de cette phrase ne semblerait pas naturelle en russe, et les erreurs de syntaxe et de grammaire feraient croire que cette phrase est le résultat de Google Translate. Ces caractéristiques pourraient mener les experts en sécurité dans la mauvaise direction :

Faux signaux dans le code de Lazarus.

Faux signaux dans le code de Lazarus.

Là encore, n’importe quel groupe de pirates informatiques peut utiliser Google Translate, même dans sa langue maternelle pour que le  » langage utilisé  » soit difficilement considéré comme un indicateur fiable.

Voici un autre cas qui illustre ces propos d’une façon légèrement différente : le groupe Hades (auteur du tristement célèbre ver OlympicDestroyer qui a attaqué l’infrastructure des Jeux olympiques d’hiver de 2018, en Corée du Sud) a utilisé certains signaux, comme l’a fait le groupe Lazarus, et a mené de nombreux chercheurs en bateau puisqu’ils croyaient que les cybercriminels de Hades étaient en réalité ceux de Lazarus. Les autres différences de  » style  » entre les deux groupes ont permis à la plupart des experts de conclure qu’il ne s’agissait pas de Lazarus.

Néanmoins, la réalisation manuelle d’une analyse experte de centaines de caractéristiques, puis leur comparaison avec le style des signatures de chaque groupe de pirates informatiques… est pratiquement impossible si les délais sont courts, si les ressources sont limitées et si l’on veut obtenir des résultats d’une qualité acceptable. Ces résultats sont si nécessaires… Les entreprises veulent rapidement attraper la cyber… pieuvre qui s’en prend à elles, couper chaque tentacule pour qu’elle ne puisse plus jamais se faufiler là où elle ne devrait pas et pouvoir dire à tout le monde comment se protéger de ce dangereux cyber-mollusque.

Les « génotypes » de malwares permettent de trouver des similarités entre le code du malware et les auteurs connus d’APT avec une précision de presque 100 %.

Est-ce ce dont les entreprises avaient si besoin ? Eh bien, il s’avère que c’est exactement ce que nous leur proposons…

Il y a quelques années, nous avons développé un système d’analyse automatisée des fichiers pour l’utiliser en interne. Il fonctionne de la façon suivante : nous extrayons du fichier suspect des informations que nous appelons génotypes (des petits fragments de code sélectionnés à partir de notre propre algorithme) et nous les comparons avec plus de 60 000 objets d’attaques ciblées et une multitude de caractéristiques qui figurent dans notre base de données. Cela nous permet de déterminer quelle est la situation la plus probable quant à l’origine de la cyberattaque, et de fournir une description des groupes de pirates informatiques probablement responsables, ainsi que de leurs liens, aux ressources payantes et gratuites pour obtenir des renseignements plus détaillés et mettre en place une stratégie pour répondre à l’incident.

Vous vous demandez peut-être quelle est la fiabilité de cette recherche ?! Disons tout simplement qu’en trois ans ce système n’a pas commis une seule erreur et a toujours orienté l’enquête en cours dans la bonne direction !

Voici certaines des enquêtes les plus connues ayant utilisé ce système : l’implant LightSpy sous iOS, TajMahal, Shadowhammer, ShadowPad et Dtrack. Dans tous ces cas, le résultat était identique à l’évaluation de nos experts. Nos clients peuvent désormais l’utiliser !

 

Kaspersky Threat Attribution Engine

Kaspersky Threat Attribution Engine

Le produit Kaspersky Threat Attribution Engine se présente sous la forme d’un kit de distribution basé sur Linux à installer sur l’ordinateur en air-gap du client (pour une confidentialité maximale). Les mises à jour se font via une clé USB. N’importe quel échantillon de malware détecté par les analystes internes du client peuvent être ajoutés à la base de données de la solution, qui utilise également une interface de programmation (API) pour connecter le produit aux autres systèmes, y compris s’il s’agit d’un SOC (centre de gestion de la sécurité) de tiers.

Pour conclure, j’ajoute une clause de non-responsabilité : aucun outil d’analyse automatisée de cyber-activités malveillantes n’offre une garantie de 100 % en termes d’attribution d’attaque. Tout peut être une imitation et un piège, même les solutions les plus avancées. Notre objectif principal est d’orienter les experts dans la bonne direction et de tester les scénarios probables. En outre, malgré les déclarations omniprésentes et retentissantes sur l’efficacité de l’IA (qui n’existe pas vraiment pour le moment), les systèmes d’ « IA » existants, même les plus intelligents, sont actuellement incapables de tout faire sans l’aide de l’homo sapiens. C’est une synergie entre les machines, les données et les experts (que nous appelons Humachine) qui nous aide aujourd’hui à lutter efficacement contre les cybermenaces les plus complexes.

Enfin, j’aimerai vous inviter à assister au webinaire du 17 juin pour que vous puissiez voir une démonstration en ligne du produit, écouter directement les explications des développeurs et poser toutes vos questions en temps réel.

C’est tout pour aujourd’hui pour ce qui est de la présentation de notre nouvelle solution. Vous pouvez obtenir plus de renseignements en consultant la page du produit, la fiche produit et son livre blanc.

PS : Je vous conseille fortement de lire cet article publié par Costin Raiu, un des fondateurs de ce produit, où il donne des détails sur son histoire et son processus de développement, mais explique également certaines subtilités de Kaspersky Threat Attribution Engine en général.

Conseils