L'activité de cyber-menace est devenue un sujet de discussion de plus en plus courant dans les médias et la société en général. Pourquoi est-ce? En raison des divulgations publiques, qui ont contribué à mettre en lumière un sous-monde jusque-là trouble des logiciels malveillants et du piratage sur Internet. Mais jusqu'à présent, peu a été considéré sur l'impact potentiel de ces divulgations sur les attaquants eux-mêmes.
Sommaire
A propos de l'auteur
Saher Naumaan, analyste de l'intelligence des menaces chez BAE Systems Applied Intelligence.
C'est pourquoi BAE Systems a récemment compilé un nouveau rapport, analysant les motivations de divulgation publique de l'activité de menace et les réponses des attaquants qui semblent avoir été influencés par celle-ci.
Qui divulgue publiquement et pourquoi?
Les divulgations proviennent de diverses sources, des agences gouvernementales aux équipes de renseignement sur les menaces dans les sociétés de sécurité privées, aux chercheurs de groupes de défense des droits de l'homme, ou même à des individus ou des groupes qui préfèrent rester anonymes.
Pourquoi veulent-ils généralement divulguer?
Il y a vraiment une gamme de motivations des différentes parties. Certains chercheurs ou entreprises peuvent vouloir attribuer publiquement une attaque à un pays ou une entité en particulier, ou au moins révéler plus d'informations sur les attaquants, afin de renforcer la réputation de leur organisation tout en offrant des informations utiles à la communauté au sens large pour améliorer les défenses collectives.
Souvent, des recherches comme celle-ci peuvent aider à conduire une réponse plus efficace à l'échelle de l'industrie à une menace particulière, et peuvent même perturber les opérations adverses. Parfois, le but de révéler publiquement des détails sur un groupe vise principalement à les nommer et à leur faire honte, comme des gouvernements qui cherchent à inculper des individus spécifiques et à annoncer qu’ils utilisent certains TTP et indicateurs («brûlure»). D'autres peuvent vouloir «dox» des individus impliqués dans des attaques et révéler publiquement leurs informations personnelles.
Comment les attaquants réagissent-ils?
Il est important de se rappeler qu'il n'y a pas deux attaquants identiques. Qu'il s'agisse d'agents parrainés par l'État, d'acteurs criminels à motivation financière, de hacktivistes ou même d'enquêteurs privés, ils ont tous leurs propres motivations et caractéristiques distinctes qui éclairent leurs décisions. En tant que tel, il est impossible de savoir sans leur demander directement ce qui a précipité une certaine ligne de conduite ou réponse.
Cela dit, il existe de nombreuses preuves qu'ils prennent des mesures en réponse à la divulgation publique de leurs activités et parfois des pirates informatiques contrôlent même ce qui est rapporté à leur sujet. Les acteurs du groupe TRITON ont été observés couverture open source de leurs activités, par exemple. Les réponses se répartissent en trois catégories de base. Ils peuvent «se taire» et cesser leurs activités actuelles; «Changer» pour modifier certains aspects de leurs opérations; ou «se mettre en colère». Certains acteurs peuvent également poursuivre leurs opérations sans changement.
Pourquoi un attaquant pourrait-il se taire?
La cessation d'activité est une réponse naturelle à la divulgation publique. Les attaquants savent que les chercheurs et peut-être les gouvernements sont sur eux, et ne veulent pas continuer d'être suivis ou risquer d'être attribués à leur pays ou organisme. L'un des premiers incidents de ce type a été le rapport de Mandiant de 2013 sur APT1 / Comment Crew, un groupe parrainé par l'État qui était constamment actif mais dont les serveurs C&C se sont tus immédiatement après la divulgation.
Cependant, se taire ne signifie pas que ce soit la dernière fois que nous entendons parler de ces pirates. Surtout dans le cas des agents parrainés par l'État, cela pourrait signifier qu'ils réapparaîtront sous une apparence différente. Cela s'est produit lorsque l'Opération Cleaver au Moyen-Orient a été appelée en 2014. Ses membres auraient réapparu l'année suivante sous la forme du groupe OilRig.
Quel est le risque que les pirates changent de tactique?
La plupart des groupes de menaces qui sont brûlés lors de la divulgation publique se taisent avant de modifier ultérieurement leur approche et leurs outils. Le danger ici en attirant l'attention sur le fait que nous les abordons est qu'ils disparaîtront complètement ou changeront de tactique pour éviter d'être retrouvés. Cela s'est produit notamment avec un groupe de menaces soutenu par l'État d'Asie de l'Est, qui a été brûlé dans le rapport historique CloudHopper dans lequel BAE Systems et PwC ont révélé des attaques à grande échelle contre des fournisseurs de services gérés (MSP).
À la suite de ce rapport, le groupe est passé à de nouvelles techniques et outils, échangeant PlugX contre Quasar RAT et un nouvel outil personnalisé appelé RedLeaves. Il est devenu plus prudent et a cloisonné ses campagnes basées sur des outils, des cibles et une infrastructure informatique, ce qui a rendu plus difficile la cartographie de ses opérations. Dans certains cas, il existe un risque que le groupe en question décide de riposter.
Les enquêtes du fournisseur de sécurité ClearSky sur le groupe Charming Kitten ont conduit les attaquants à lancer une version usurpée du site Web ClearSky conçue pour recueillir les informations d'identification des employés et des clients de l'entreprise. D'une manière mesquine et vindicative similaire, le rapport 2018 de Kaspersky révélant les opérations de MuddyWater a conduit le groupe à télécharger une vidéo YouTube montrant comment "désactiver" le produit antivirus de la société de sécurité russe.
La divulgation a-t-elle des conséquences imprévues?
On ne sait jamais comment les attaquants vont réagir. Mais avec les réponses décrites ci-dessus, la divulgation publique peut également avoir des conséquences plus graves.
Le premier est la réplication. Une fois que les outils et les techniques seront rendus publics, d'autres groupes de menaces pourraient les utiliser dans leurs propres attaques. Cela s'est produit lorsqu'une nouvelle technique de trou d'eau SMB utilisée par le groupe d'Europe de l'Est Dragonfly a ensuite été utilisée par des groupes de menace du Moyen-Orient.
Les attaquants pourraient également utiliser des outils et des techniques copiés pour planter de faux drapeaux dans leurs propres opérations, afin d'induire les chercheurs en erreur. Le malware destructeur Olympic Destroyer ciblant les Jeux Olympiques de Pyeongchang en 2018 s'est avéré contenir des éléments le liant à de nombreux groupes basés dans le monde; cependant, il a finalement été découvert que c'était l'œuvre d'un groupe d'Europe de l'Est.
Enfin, il va sans dire qu'un groupe d'attaque prendra probablement en compte l'organisation divulgatrice dans les opérations futures, qu'il s'agisse de représailles ou, plus probablement, d'adapter leurs TTP pour éviter d'être détectés lors de la prochaine campagne.