Il arrive souvent que la détection d’une attaque prenne du temps, mais la campagne découverte par les spécialistes sécurité de BlackBerry est à classer dans la catégorie hors-norme. En effet pendant près d’une décennie, cinq groupes connexes de menaces persistantes avancées (APT) opérant dans l'intérêt du gouvernement chinois ont systématiquement ciblé les serveurs Linux, les systèmes Windows et les terminaux sous Android.
Dans le rapport « Decade of the RATs: Cross-Platform APT Espionage Attacks Targeting Linux, Windows and Android » (disponible sur inscription), les experts indiquent que les groupes APT ont ciblé avec succès des entreprises dans de nombreux secteurs critiques par le biais d'attaques multiplateformes sur des serveurs back-end utilisés pour stocker des données sensibles. L’objectif des attaques était de voler la propriété intellectuelle, sujet au cœur de plus de 1000 enquêtes ouvertes réparties dans les 56 bureaux du FBI selon le ministère de la justice américain. Ils se sont concentrés sur les serveurs Linux des entreprises, les considérant comme « une tête de pont dans le réseau » et qu’ils ne sont généralement pas aussi bien protégés que d'autres infrastructures clés. Les groupes se sont focalisés sur les environnements RHEL, CentOS et Ubuntu.
Des attaques coordonnées et élaborées
Le rapport insiste sur le fait que les groupes APT (WINNTI GROUP, PASSCV, BRONZE UNION, CASPER (LEAD) et WLNXSPLINTER) ont agi de manière coordonnée, en s’appuyant sur des outils multiplateformes et open source. Ce dernier point prend une perspective particulière avec le développement soudain et rapide du télétravail. « La propriété intellectuelle reste dans les serveurs de l’entreprise qui sont majoritairement sous Linux et il y a moins de monde pour assurer la sécurité de ces systèmes », observe Eric Cornelius, architecte en chef des produits chez BlackBerry.
Le rapport détaille les techniques utilisées par les différents groupes. Pour Linux, le portefeuille de malware comprend des backdoors, des RAT (remote access trojan), l’appui de botnet pour réaliser des DDoS sur les systèmes Linux (actif depuis 2014). Pour Android, un des groupes s’est servi d’un logiciel qui ressemble de très près au code d'un outil de test d'intrusion, Netwire, disponible dans le commerce. Cependant, ce malware semble avoir été créé près de deux ans avant le lancement de l’outil commercial. Enfin, l’étude met en évidence le fait que les attaquants tendent à utiliser les fournisseurs de services cloud pour les communications de commande et de contrôle (C2) et d'exfiltration de données qui semblent être initialement un réseau de confiance.