Interview de Mathieu Tartare et Benoît Grunemwald d’ESET
/SDBR News: Quelle est votre vision de la Menace Cyber ?
Mathieu Tartare*: Si nous considérons les personnels particuliers des groupes ou des organisations, par exemple des chercheurs en vulnérabilité et en logiciels malveillants, des personnels des industries de Défense, etc., nous constatons que ces personnes sont très attaquées et de façon très ciblée. Ce ne sera pas avec du «phishing » nigérian mais avec des attaques très ciblées, par exemple via LinkedIn pour une offre d’emploi : ce sera une offre d’emploi très alléchante, concordante à ce que fait l’employeur officiel censé émettre cette offre d’emploi, avec un document malveillant joint type descriptif de poste. Nous avons constaté des attaques de ce type aussi sur des personnels spécialisés dans la cybersécurité.
SDBR News: Y a-t-il recrudescence des attaques ou bien simplement des modes opératoires nouveaux ?
Mathieu Tartare: Le spearphishing à destination des chercheurs est en croissance. Quant aux volumes je ne saurais y répondre, sinon que c’est très ciblé et que cela concerne plus le vol d’information. Lorsqu’un personnel d’une entreprise d’armement est compromis, c’est pour avoir accès à du renseignement et à de la propriété intellectuelle ; lorsqu’il s’agit d’un chercheur de vulnérabilités, c’est très probablement pour avoir accès à ses exploit « zero day » pour pouvoir les utiliser.
Benoit Grunemwald : Il y a de l’astuce, il y a du temps et donc du financement et des moyens déployés pour atteindre les objectifs de l’attaque ciblée : à l’aide de « Cobalt Strike » par un groupe APT par exemple. Lorsque vous êtes en présence d’un « spear phishing » qui peut être très réaliste, il n’y a pas forcément derrière un faux site de l’entreprise qui est censée recruter et des fausses offres d’emplois très réalistes. Derrière un spear phishing il n’y a pas toute une infrastructure qui va construire une confiance pour amener la cible à l’objectif poursuivi.
SDBR News: Donc, en matière de Renseignement, ce n’est plus la simple délinquance qui est concernée ?
Mathieu Tartare: Il y a moins d’intérêt à faire autant de recherches sur une victime, autant de reconnaissances et autant de construction de la confiance pour déployer un ransomware. Pour déployer un ransomware, nous savons qu’une attaque de masse a statistiquement toute chance de toucher un certain nombre d’organisations et donc d’atteindre son but économique et/ou son but de déstabilisation.
Benoit Grunemwald : L’utilisation de Cobalt Strike par les groupes APT est un bon exemple d’essai de passer au maximum sous les radars, a contrario des cybercriminels.
SDBR News: Comment alors attribuer les attaques ?
Mathieu Tartare: Dans le cas particulier de l’utilisation de Cobalt Strike, cela ne garantit pas que l’attaque ne soit pas détectée, car ce logiciel malveillant est beaucoup utilisé. C’est quasiment un outil « sur étagère »pour les attaquants mais, une fois détecté, en faire l’attribution est une autre affaire car c’est aussi utilisé par des pentesters et par de nombreux cybercriminels. Donc un groupe de cyber-espionnage peut très bien utiliser Cobalt Strike pour se fondre dans la masse des pirates et cybercriminels et passer ainsi sous les radars. Rendant l’attribution plus compliquée. C’est une façon de procéder que nous avons beaucoup observée sur le groupe APT41 et sur le groupe « The Dukes ». Les Dukes utilisent une chaîne complète d’attaque qui leur est propre, donc lorsqu’on trouve la chaine complète nous pouvons en déduire que ce sont les Dukes qui sont derrière. APT41 utilise des chargeurs particuliers, donc lorsqu’on les repère nous savons qu’APT41 est derrière. Mais ces groupes savent aussi brouiller les pistes en utilisant moins leurs « backdoors » étendards et en se basant sur des implants sur étagères.
SDBR News: Voulez-vous dire qu’on trouve tout dans les supermarchés du cybercrime ?
Mathieu Tartare: Oui il existe des forums du cybercrime où les cybercriminels peuvent se fournir en implants et les utiliser ensuite dans des opérations de cyber-espionnage. C’est, entre autres, ce qui complexifie l’attribution des attaques. Cette utilisation, par des groupes d’attaquants, d’implants déjà utilisés par les pentesters est une tendance en augmentation observée depuis deux ans. Ainsi le groupe APT41, est réapparu en utilisant du « Cobalt Strike ». APT41 espionne les industries et les universités, et a donc énormément de cibles : par exemple, l’industrie du semi-conducteur à Taiwan et des universités taïwanaises.
SDBR News: Observez-vous une recrudescence des attaques du fait du conflit russo-ukrainien ?
Mathieu Tartare: Bratislava est le siège d’ESET et la Slovaquie a une frontière commune avec l’Ukraine, laquelle est aussi le plus gros client d’ESET. Donc nous avons une importante télémétrie, qui nous permet de voir ce qui se passe et ce qui s’est passé depuis 2014. La veille du déclenchement du conflit, nous avons observé une recrudescence massive de « wipers », un type de malware dont l'objectif est d'effacer les données du disque dur d’un ordinateur infecté, rendant ainsi les machines inopérantes. Ce fut du sabotage pur et simple de centaines d’organisations ukrainiennes quelques heures avant le déclenchement de l’opération militaire. Quelques semaines plus tard, attaque par « Industroyer2 » qui est déployé dans une sous-station d’une région d’Ukraine et aurait privé deux millions d’habitants de courant électrique. En collaborant avec le CERT ukrainien, Microsoft et Cisco Talos, nous avons pu contrecarrer cette attaque. Il y a donc bien une corrélation entre le conflit cinétique (armé) et le conflit dans le cyberespace.
SDBR News: Avez-vous observé des destructions physiques grâce aux outils numériques ?
Mathieu Tartare: Dans le cadre du premier « Industroyer », l’objectif était non seulement de couper le courant mais de le couper pendant longtemps. Pour y arriver, toute la visibilité des opérateurs de la sous-station avait été interrompue en coupant toutes les interfaces SCADA et les relais de protection avaient été désactivés, donc les opérateurs ne voient pas l’incident : à ce moment-là, ils passent en manuel pour réactiver les systèmes et la perturbation sur le réseau électrique, en l’absence de relais de protection désactivés. En cas de succès, cela aurait entrainé le bris d’équipements ; conséquence des semaines pour réparer ! Il y a eu des vagues d’attaques, à l’aide de Wiper et d’Industroyer, de la part de Sandworm.
SDBR News: Quel enseignement peut-on tirer, de ces observations du théâtre ukrainien, sur la pertinence des cyber-armes?
Mathieu Tartare: Je ne tomberai pas dans le piège de penser que les Russes n’ont pas été bons dans ce mode d’attaque, car ils ont quand même été capables de couper deux fois le courant en Ukraine. Ils savent faire de la reconnaissance et ils connaissent les protocoles réseaux. En face, les Ukrainiens sont peut-être plus préparés et collaborent plus avec les différentes parties prenantes, publiques et privées. En s’élevant au-dessus du conflit russo-ukrainien, des « Wiper » qui font du sabotage et effacent tout sur les machines et des « Industroyer » qui peuvent couper le courant sont-ils finalement utiles pour soutenir des opérations militaires ?
Benoit Grunemwald : En tous cas à J+1 du début d’un conflit, on peut se poser la question. Par contre à J-1 d’une opération, le Wiper déstabilise et crée un impact physique, matériel et psychologique sur les populations. Comme on ne connait pas le véritable objectif de cette attaque cyber, il est difficile d’en tirer une conclusion. ESET ne fait pas de géopolitique et se borne à observer et à analyser ce qui se passe sur les réseaux. La Menace est partout, y compris sur la paralysie éventuelle d’un système d’arme. Aujourd’hui on ne constate pas plus d’actions Cyber pour autant.
*Mathieu Tartare est « Malware Researcher » basé à Montréal au sein d’un laboratoire de recherche ESET d’une douzaine de chercheurs.
Benoit Grunemwald est Expert en Cybersécurité chez ESET France et Afrique francophone.