Lorsqu'on s'intéresse à
la sécurité informatique et aux opérations dans le cyberespace, on
ne peut être passé à côté du « buzz word » APT.
Depuis le très célèbre rapport Mandiant (APT 1 février 2013) de
nombreuses publications présentent ces opérations. Mais au-delà
des commentaires simplistes du type « le virus le plus
sophistiqué jamais découvert », « une attaque d'une
complexité sans égale... » qu'est ce donc qu'une APT ?
En cette fin d'année 2014, Cédric Pernet (@cedricpernet) nous
propose un ouvrage de belle facture qui présente en détail ce type
de menace.
Ouvrage spécialisé,
destiné aux DSI, RSSI, administrateurs systèmes et architectes de
réseau, il peut toutefois rejoindre la bibliothèque de toute
personne curieuse voulant comprendre. N'ayez pas peur, il faut
rentrer dedans et le style simple, concis et très pédagogique
permet aux moins experts de ne pas s'y perdre. Quoiqu'il en soit, ce
livre est un bon prolongement technique de Cybertactique conduire la guerre numérique !
S'appuyant sur une solide
expérience de terrain, l'auteur organise son livre en douze
chapitres, prenant soin de définir les termes (chap1) de brosser le
contexte des APT (chap2) de décrire la chaîne d'attaque (chap3) et
d'en détailler les phases clefs (chap 4 – 5 – 6 -7 -8). Il
détaille ensuite les types de cibles (chap 9), les attaquants (chap
10) puis des exemples de campagnes de cyberespionnage (chap 11).
Enfin, le dernier chapitre propose une approche méthodologique de la
détection des APT.
Bon et si on y allez
maintenant ?
Des mots pour un mal
APT,
de quoi parle-t-on ? L'auteur propose différentes définitions :
- Mandiant : « un groupe d'attaquants sophistiqués, déterminés et coordonnés, qui ont systèmatiqument compromis le gouvernement des Etats-Unis et les réseaux informatiques commerciaux depuis des années. »
- Dell SecureWorks : « APT, terme le plus couramment utilisé pour se référer à des activités de cyberespionnage menées contre les gouvernements, activistes et industries. »
- NIST : « un adversaire qui possède un niveau d'expertise sophistiqué et des ressources importantes, qui lui permettent de créer des opportunités pour atteindre ses objectifs et utilisant de multiples vecteurs d'attaques. Ces objectifs sont typiquement l'établissement et l'extension de compromission dans l'infrastrucure informatique dans le but d'exfiltrer de l'information, déterrer ou entraver des aspects critiques d'une mission, programme ou organisation ; ou se placer en position de remplir ces objectifs dans le futur. »Finalement l'analyse « mot à mot » est également très intéressante car elle soulève de multiples questions.
- Le terme « advanced » en premier lieu ramène souvent au niveau technique des attaquants (« les plus évolués »??). Cet aspect peut largement être critiqué, car d'une part il contribue à l'aspect « marketing » de l'analyse des menaces et d'autre part il est généralement faux. Comme le souligne l'auteur (qui peut se prévaloir d'une certaine experience du sujet) la plus part des APT n'exploitent pas de « vulnérabilités inconnus » (0-day) et utilise bien souvent un vecteur d'infection classique (le mail ciblé – spear phising). L'APT ce n'est pas de la magie.« SecureWorks semble du même avis et écrit dans un document intitulé « Cycle de vie d'une APT » que « la nature organisée des attaques APT est ce qui les rend avancées et c'est cet attribut combiné avec le ciblage d'une entreprise spécifique qui les rend différents des autres scénarios de menaces. Les opérations démarrent avec un plan. Les objectifs sont définis et une série de procédures coordonnées très rodées est mise en mouvement ».(P.4)
- « Persistent » ce terme semble plutôt faire l'unanimité et l'idée étant qu'une APT, par nature cherche à se maintenir sur le système cible.
- « Threat » : encore un terme complexe à cerner, et s'il peut paraître lié au « code » mis en œuvre, il fait plutot référence à « l'intelligence » qu'il y a derrière. La menace ce n'est pas le malware, c'est le groupe qui cherche à l'utiliser dans un but précis.
Pour
finir, Cedric Pernet fait converger les approches pour ne retenir que
la formulation suivante :
« Une
attaque informatique persistante ayant pour but une collecte
d'information sensibles d'une entreprise publique ou privée ciblée,
par la compromission et le maintien de portes dérobées sur le
système d'information. »
Après
avoir posé le débat, l'auteur poursuit avec une approche du
contexte général d'une APT en évoquant les données sensibles
d'une société, les machines (serveur mail, active directory, NAS)
et personnes qui peuvent présenter un intérêt dans le contexte de
l'APT. Loin d'être exhaustif il s'agit de présenter la diversité
des profils et infrastructures qui peuvent servir ou être victime
d'une APT.
La
conclusion est sans appel :
« Peu
importe la profondeur et le degré de complexité des réseaux
informatiques d'entreprises, un attaquant motivé disposant de
suffisamment de temps trouvera toujours un moyen d'atteindre les
données ciblées. »
Ainsi,
« les APT existent parce que quelqu'un, quelque part, a besoin
d'information, peu importe le but final de l'exploitation de cette
information : revente, avantage sur un concurrent, etc.
Cette
information, à partir du moment où elle ne peut pas être obtenue
légalement, doit être dérobée. C'est aussi simple que ça. »
(p.15)
Suit
alors la présentation de la chaîne d'attaque d'une APT avec ces
étapes de reconnaissance, compromission initiale, renforcement des
accès, mouvements latéraux, exfiltration des données. On retrouve
classiquement les séquences du modèle offensif que nous évoquions
dans Cybertatique.
1. Reconnaissance
Le
lecteur militaire complètera de lui même (et de mémoire) la
définition de ce terme de mission...
Reconnaître :
action qui consiste à aller chercher le renseignement d'ordre
tactique ou technique, sur le terrain ou sur l'ennemi, sur un point
ou dans une zone donnée, en engageant éventuellement le combat.
Cette
définition est totalement transposable dans le contexte de l'APT et
l'auteur souligne les deux modes d'action : reconnaissance
passive et reconnaissance active (cette dernière traduit une
interaction avec la cible ou des personnes liées à la cible, elle
laisse des traces et est susceptible d'alerter la cible). Sur les
aspects techniques, le lecteur familier des techniques de tests
d'intrusion ne trouvera pas ici de différences fondamentales (Whois,
réseaux sociaux, offre d'emploi, moteur de recherche). Pourtant la
différence entre les deux activités est notable :
« il
suffit à l'attaquant de découvrir une seule vulnérabilité
exploitable pour mettre à mal tout le système d'information, alors
qu'un test d'intrusion aura pour but de découvrir autant de
vulnérabilités que possible afin d'aider un client. L'attaquant ne
cherche qu'un point d'entrée qui lui permettra de rebondir à
l'intérieur du réseau ciblé. » (P.19)
Par
ailleurs, la reconnaissance offensive requiert la mise en œuvre de
techniques d'anonymisation. L'auteur présente les principales
techniques et outils qu'il a pu observé sur des cas réels l'amenant
à conclure le chapitre par « Si c'est simple et que ça
fonctionne, pourquoi se compliquer la vie ? »
2. La compromission
initiale : « And
the winner is …. »
Vecteur :
Là
encore, il y a déconstruction de mythes. Non, les attaquants ne sont
pas des magiciens. « Il est courant de croire que les
attaquants APT pénètrent le réseau de l'entreprise par
l'utilisation de recettes uniques, géniales voire magiques, basées
sur des capacités expertes, de la sorcellerie informatique et une
paire de vulnérabilités de type 0day. Cette croyance a souvent été
nourrie par les médias, qui se servent de cet argument pour faire du
sensationnel à peu de frais. »
« Dans
la plupart des cas cette croyance est erronée. » (P.45)
Sans
surprise, le vecteur préférentiel d'infection demeure le Phising
et le spear phising,
(taux d'ouverture de 70 % si le message est ciblé contre 3 %
pour du Phising classique). L'auteur présente alors quelque exemple
de campagnes avec les contenus piégés (généralement PDF ou suite
Office).
Les
autres vecteurs d'attaque sont présentés en détail :
l’exploitation de réseau sociaux (avec liens cliquables),
l'infection par watering hole (infecter un site légitime connu afin
d'exploiter les vulnérabilités des visiteurs), attaques de
fournisseurs de services internet, les attaques directes (vers les
serveurs de l'entreprise) et enfin les accès physiques. L'auteur
termine ce panorama en soulignant que les APT sur lesquels il a pu
travailler utilisaient quasi exclusivement le spear phising en
s'appuyant sur une connaissance fine des cibles afin de maximiser les
chances de succès.
Outils :
Malwares et exploits
Le
combat contre les idées reçues continue ici également car
finalement les meilleures méthodes pour infecter une cible sont les
plus simples. Les binaires sont souvent transmis en clair, non
chiffrés, non packés. La pluspart des APT communiquent vers leurs
serveurs de contrôle (C&C) sur les ports 80 (HTTP) et 443
(HTTPS). Sans rentrer dans les détails, le lecteur pourra au long de
ce chapitre un peu plus technique lire l'excellente interview de
Fabien Perigaud (Airbus DS CyberSecurity). Ce dernier rappelle que
« le code seul ne permet pas l'attribution », « on
ne peut pas dire que les codes soient complexes, ils sont rarement
packés, assez peu obfusqués et ne font pas usage de techniques
avancées pour se dissimuler. » finalement « la meilleure
protection pour contrer ce type d'attaque restera la sensibilisation
des utilisateurs, le cloisonnement des réseaux, ainsi que la mise en
place et l'application de procédures d'administration sûres. »
(P.93)
- Renforcer les accès et mouvements latéraux
Comme
lors d'un assaut (voir Cybertactique et l'analogie avec le combat
urbain), il convient de consolider la tête de pont avant de
poursuivre l'exploitation. Ici l'attaquant doit faire face à des
exigences contradictoires. Il lui faut consolider son accès initial
(devenir administrateur local) mais également explorer le réseau
pour accéder aux données qu'il recherche. Après avoir compromis
une ou plusieurs machines et être devenu administrateur local, il va
chercher à éteindre ses privilèges pour devenir administrateur
d'un ou plusieurs domaines. Pour se faire il faudra obtenir des mots
de passe locaux, en obtenir d'autres et parcourir de nombreuses
machines. A ce stade il faut souligner que certaines APT ne passent
pas par une grande phase de mouvements latéraux (si l'attaquant a
ciblé des employés particuliers qui lui permettent d'obtenir toutes
les informations souhaitées avec de simples droits d'utilisateurs
courant. Le Graal étant d'obtenir un dump complet de l'Active
Directory de l'entreprise...
- Exfiltration des données
On
touche au but, pourtant cette phase semble la moins intéressante à
étudier. Sur le plan technique il y a peu à dire et arrivé ici, le
mal est fait...
Le
RAT déjà déployé sur une ou plusieurs machine peu être utilisé
pour l'exfiltration ;
L'auteur
présente également des exemples d'utilisation de FTP/SFTP, mais
également des cas d'exfiltration par e-mail ou par tunnel DNS. Le
lecteur trouvera ici l'interview passionnante de Silas Cutler
(CrowdStrike) ainsi que des hypothéses analytiques très
intéressante sur un constat partagé par de nombreux incidents
handler : pourquoi les attaquants n'exfiltrent-ils pas les
données immédiatement après la phase de consolidation d'accès et
de mouvements latéraux ? La réponse ne semble pas intuitive et
surtout ne repose pas sur une problématique technique. On est ici
visiblement au cœur d'un processus décisionnel et de répartition
des ressources...
Après
cette description vivante et détaillé du « cycle de l'APT »,
l'auteur se penche sur l'analyse des cibles avant de revenir aux
attaquants. Le constat est encore accablant, car si beaucoup pensent
que les APT sont réservées au seul gouvernement américain et aux
grandes entreprises des domaines sensibles (défense, énergie,
transport), les évolutions observées par l'auteur ne lasse de
convaincre qu'en définitive, il n'y a plus aujourd'hui de secteurs
protégés. « les APT sont finalement le prolongement des
opérations traditionnelles d'espionnage, qui étaient limitées par
les moyens importants à mettre en œuvre. Aujourd'hui (…) il est
possible d'espionner (…) y compris des cibles de moindre importance
qui n'auraient pas été considérées auparavant. » (P.127)
APT, qui es tu ?
L'auteur
dresse une typologie des acteurs de la menace APT car si les attaques
sont différentes, les profils pour les conduire sont les mêmes.
- Le hacker (avec toutes les réserves liés à l'utilisation de ce terme) : disons plutôt « le profil très technique » ; il interviendra dans les phases de reconnaissance active (recherhce de vulnérabilités), lors de la compromission initiale, il déposera les « outils » puis recherche de moyens d'élever les privilèges.
- Le profil « analyst threat intelligence » : c'est un expert de la réponse à incident et de la veille technologique sur les menaces informatiques ; il intervient lors de la phase de reconnaissance, effectue les recherches qui permettent de mieux connaître la cible, ses employés, ses pratiques, son architecture et développe les scénarios d'attaque par spear phising (P.133).
- Le profil « analyst Competitive intelligence » : c'est l'expert dans le domaine d'activité de la cible. Il connaît l'activité concernée mais également la cible (ses projets, partenaires etc.). Il oriente les autres intervenants lors de la phase de reconnaissance.
- Le profil « administrateur système » : Il sera en charge de l’administration du réseau de serveurs de command & control, il peut en outre être responsable de l'anonymisation des connexions du groupe d'attaquants.
- Le profil « développeur de malware » : ce profil n'est pas forcément intégré à l'équipe attaquante (certains groupe d'APT n'utilisent que des RAT connus et se contentent de les modifier).
- Le profil « développeur généraliste » : Lui aussi n'est pas forcément membre de l'équipe mais il peut s’avérer utile pour développer des outils comme des binder, montage de site web avec exploit kit...
La
typologie claire et complète ne permet toutefois pas de présenter
une structure type de groupe APT car les fonctions peuvent être
incarnées par la même personne. Par ailleurs nul ne sait à ce jour
combien de personne sont impliquées dans un groupe « APT ».
L'auteur soulève ensuite une question plus « éthique »
que technique en soulignant l'émergence de ce que certains appellent
« la sécurité offensive » et qui classiquement revient
à attaquer l'attaquant (pour mieux le connaître et éventuellement
lui faire cesser son activité). Enfin, avant d'aborder la question
de la détection des APT, l'auteur sur près de cinquante pages
présente une quarantaine d'opérations plus ou moins connues du
grand public. Ces opérations ont été détectées, pour la plupart,
entre 2007 et 2014...
« Ne pas subir »
ou comment détecter une APT
Bon,
ça commence mal puisque l'auteur souligne « la détection
d'attaques APT n'est pas chose aisée » et certains doutent
même de la réalité de ces détections et s'en remettent aux
« autres » (détection par gouvernement, ou entreprise
privée). Mais si on veut quant même ? Cela revient soit à
« débusquer les malwares et outils déployés par l'attaquant
sur le système, soit à détecter des communications malveillantes
ou de l'exfiltration de données sur le réseau. » Il faudra
ainsi, se plonger dans les logs des antivirus pour détecter des
outils « connus » pouvant être reliés à une APT. Une
approche « réseau » semble plus difficile (les
communications utilisent un flux légitime...) mais pas impossible.
Les pare-feu, proxies, DNS et VPN sont également des sources
potentielles de détection (on peut ainsi relever une incohérence
dans l'origine des connexions extérieures via VPN). Bref, il
n'existe pas de solution « clef en main » mais bien un
ensemble de mesures à combiner allant d'ailleurs jusque sur le poste
client. Le premier rempart demeurant évidement l'utilisateur (sa
sensibilisation est essentielle). Pour conclure sur une note
optimiste, l'auteur souligne la pertinence des outils de sécurité
existants mais insiste sur la nécessité de les déployer
« intelligemment ». Mais la limite intrinsèque à la
détection d'APT demeure le coût lié à la sécurité. Ainsi, tant
que les victimes n'investiront pas « à perte » dans la
sécurité pour se prémunir contre un risque qui demeure largement
« immatériel », les APT auront de beaux jours devant
elles et le spear phising
occupera encore une place de choix dans les vecteurs d'infection...
Inutile donc de préciser que je conseille chaudement ce livre !
A signaler également, la fiche de lecture de Stéphane Bortzmeyer, et celle de Nicolas Caproni.
A signaler également, la fiche de lecture de Stéphane Bortzmeyer, et celle de Nicolas Caproni.
excellent résumé ... merci
RépondreSupprimer