Il est toujours difficile d'attribuer des cyberattaques et d'identifier de manière certaine un acteur de la menace, surtout quand l'attaque est complexe et qu'elle a été conçue par un pirate au service d'un État-nation. Car ces attaquants sont doués pour masquer ou effacer leurs traces ou détourner la responsabilité vers d'autres. La meilleure méthode pour arriver à identifier de manière solide l'origine d'une attaque est d'examiner l'infrastructure et les techniques utilisées. Mais même dans ce cas, les chercheurs peuvent souvent se tromper, comme l'ont expliqué Paul Rascagneres et Vitor Ventura de Cisco Talos lors de la conférence Virus Bulletin VB2020 organisée en ligne du 30 septembre au 2 octobre dernier. Comme l'a déclaré M. Rascagneres, « les chercheurs s'appuient généralement sur trois sources de renseignements : le renseignement d'origine sources ouvertes (Open Source Intelligence - OSINT), accessible au public sur Internet, le renseignement technique (Technical Intelligence - TECHINT) qui repose sur l'analyse des malwares, et les données propriétaires accessibles uniquement aux organisations impliquées dans l'incident. Les agences de renseignement nationales sont une autre source de renseignements, car elles disposent de plus d'informations et de ressources que le secteur privé, mais leurs méthodes sont souvent secrètes ». De plus, « le secteur public ne partage pas toutes ses informations, n'explique pas non plus comment il les obtient, ni comment il remonte à la source », a précisé le chercheur.
L'exemple du malware WellMess
Concernant l'analyse des infrastructures et ce que les experts en sécurité appellent les tactiques, techniques et procédures (TTP), M. Rascagneres a voulu montrer comment elles pouvaient induire en erreur. Pour cela, il a pris l'exemple du malware multi-plateforme WellMess découvert par le CERT japonais en 2018. Le Centre national de cybersécurité britannique (National Cyber Security Centre - NCSC) avait d'emblée attribué le malware WellMess à APT29, un groupe de pirates plus connu sous le nom de Cozy Bear, soutenu par la Russie. Et son évaluation avait été approuvée par le Centre de la sécurité des télécommunications canadien (Communications Security Establishment - CST), l'Agence nationale de la sécurité américaine (National Security Agency - NSA) et l'Agence de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency - CISA) du ministère américain de la sécurité intérieure (Department of Homeland Security).
WellMess, qui extrait les informations des hôtes infectés en attendant de nouvelles instructions, comporte des variantes 32 et 64 bits et dispose de multiples protocoles pour effectuer des communications C2, notamment DNS, HTTP et HTTPS. En examinant l'infrastructure, les chercheurs peuvent déduire les connexions entre les échantillons de malwares. Par exemple, si un logiciel malveillant A utilise l'infrastructure X et que le logiciel malveillant B associé à un acteur de la menace M utilise également l'infrastructure X, les attaques sont liées par l'infrastructure partagée. Cette technique peut être utilisée pour étudier les adresses IP et les domaines partagés, car de nombreux clients différents peuvent utiliser les mêmes adresses IP. « En se basant uniquement sur l'adresse IP, c'est un peu délicat et l'on peut facilement se tromper », a déclaré M. Rascagneres. « L'autre point important concerne le délai. L'adresse IP peut changer rapidement d'un client à l'autre. Si un acteur de la menace utilise une adresse IP spécifique à une date et que vous détectez une autre campagne utilisant cette même adresse IP un an plus tard, cela ne signifie pas que ces attaques sont liées, car il peut y avoir eu beaucoup de changements d'IP entre temps ». D'après l'analyse des adresses IP, le malware WellMess semblait plutôt provenir du groupe APT28, également connu sous le nom de Fancy Bear, et non du groupe APT29, ce qui contredirait le diagnostic des autorités britanniques.
Même sur la base des tactiques, techniques et procédures (TPP), l'analyse peut conduire les chercheurs vers une fausse piste. En utilisant un autre échantillon de WellMess, M. Rascagneres a trouvé un lien entre WellMess et le groupe de kackers DarkHotel en examinant le TPP et en passant l'échantillon par VirusTotal. D'après ce que l'on sait, le groupe DarkHotel opérerait depuis la péninsule coréenne et volerait des données précieuses à des cibles de haut niveau, dont des CEO. Le nom DarkHotel illustre la méthode utilisée par le groupe : celui-ci pistait les déplacements des voyageurs et piratait leurs appareils via le WiFi de l'hôtel dans lequel ils séjournaient. Un rapport de l'entreprise de sécurité chinoise CoreSec360 est venu compliquer l'analyse de cet échantillon en attribuant le malware WellMess à un acteur totalement inconnu dénommé APT-C-42 par CoreSec360. Mais, malgré ces trois sources de renseignements du secteur privé, l'analyse n'a pas permis confirmer les conclusions du NCSC britannique mettant en cause le groupe APT29 (une explication plus détaillée de l'analyse de M. Rascagneres figure dans le présent document).
L'analyse du code partagé
L'analyse du code partagé est une autre technique couramment utilisée pour remonter la piste d'une attaque. « Cette analyse permet de voir que tel échantillon appartient à tel échantillon et de regarder si le second échantillon pourrait être lié à un pays ou à un groupe et identifier ainsi la source », a déclaré pour sa part Vitor Ventura. Cependant, ce dernier a mis en garde les chercheurs sur le fait que cette méthode pouvait donner de faux résultats, en particulier quand le code partagé était accessible au public. Dans ce cas, les similitudes de code peuvent conduire à une mauvaise attribution. M. Ventura a cité l'exemple d'un chercheur qui avait lié deux échantillons de logiciels malveillants en recherchant le code partagé, et qui s'était rendu compte plus tard, que le code provenait d'une bibliothèque TLS intégrée. Or, cette source publique est largement utilisée par les développeurs et ne permet pas d'établir des liens solides et fiables entre deux échantillons de logiciels malveillants. « Parfois, nous retrouvons plein de chevauchements de code, mais quand nous faisons des recherches plus approfondies, quand nous examinons les autres informations dont nous disposons, nous sommes amenés à remettre en question nos conclusions ».
Le piège des fausses bannières
« Les fausses bannières peuvent également conduire les chercheurs à une conclusion erronée », a déclaré M. Ventura. Le malware Olympic Destroyer, utilisé pour cibler les Jeux olympiques de PyeongChang de 2018, en Corée du Sud, en est un bon exemple. Les experts en sécurité avaient été trompés par les fausses bannières intégrées dans le malware pour semer la confusion et l'avaient attribué à la Russie, à l'Iran, à la Chine et à la Corée du Nord. Selon M. Ventura, dans ce genre d'analyse, seuls les agences de renseignement disposent des bonnes informations. « Ils ont des informations que nous n'avons pas, comme le Renseignement d'origine électromagnétique ou SIGINT (Signals Intelligence), ils ont l'intelligence humaine. Ils peuvent exploiter toutes sortes de sources auxquelles nous n'avons généralement pas accès. Comparativement, nous avons peu d'informations », a-t-il déclaré.
Vitor Ventura a également évoqué la frustration que pouvaient ressentir les chercheurs en sécurité face à ce manque d'information et à l'impossibilité de savoir comment les agences de renseignement parvenaient à remonter la piste des attaques. « En tant que chercheurs, ce genre de situation nous met extrêmement mal à l'aise, parce que nous aimons les choses vérifiables. Or, nous ne pouvons pas vérifier ces analyses parce que nous n'avons tout simplement pas accès à toutes les informations ». Selon lui, la meilleure façon de surmonter cette frustration est d'accepter que certaines choses ne puissent jamais être connues. « C'est un point que nous devons accepter. Cela ne veut pas dire que ce que disent les agences de renseignement est incontestable, mais que nous devons accepter le fait qu'elles ne peuvent partager toutes leurs informations ».
Commentaire