juin 16, 2020

Quel groupe de pirates informatiques s’en prend au réseau de mon entreprise ? Ne jouez pas aux devinettes, vérifiez !

Il y a environ quatre ans, la cybersécurité devenait un pion de l’échiquier géopolitique. Alors que les politiques de tous les partis et de toutes les nationalités se montraient du doigt et se rejetaient la faute d’opérations hostiles de cyber-espionnage, en parallèle, et apparemment sans aucun signe d’ironie, ils augmentaient la réserve d’armes outils offensifs informatiques de leur pays. Les entreprises indépendantes de cybersécurité, prises entre deux feux à cause de ces manigances géopolitiques, ont toutefois les capacités et le culot courage de révéler toutes ces absurdités très dangereuses.

Pourquoi ? C’est très simple.

Tout d’abord,  » cyber  » a été et est depuis le début un terme cool, romantique, glamour, hollywoodien et lié à la science-fiction. Il est vendeur, même lorsqu’il s’agit de journaux d’abonnements à des journaux en ligne. Il est populaire, même auprès des politiques. C’est aussi une distraction utile, grâce à son côté cool et tendance, lorsqu’il faut détourner l’attention, et c’est souvent le cas.

Ensuite,  » cyber  » est vraiment un terme geek. La plupart des gens ne comprennent pas en quoi il consiste. Par conséquent, les médias, lorsqu’ils doivent couvrir une actualité ayant un lien avec ce sujet, ou lorsqu’ils cherchent à obtenir plus de visites sur leur site, peuvent écrire tout et n’importe quoi, et la plupart des choses qu’ils racontent ne sont pas vraiment exactes (ou sont complètement fausses). Peu de lecteurs s’en rendent compte. Vous avez donc de nombreux articles dans la presse qui disent que le groupe de pirates informatiques de tel ou tel pays est responsable d’une certaine cyberattaque embarrassante, coûteuse, préjudiciable ou encore scandaleuse. Y-a-t-il quelque chose de vrai dans tout cela.

Nous nous en tenons aux attributions techniques. C’est notre devoir et c’est ce que nous faisons en tant qu’entreprise.

En général, il est difficile de discerner le vrai du faux. Cela étant dit, est-il vraiment possible d’attribuer avec précision une cyberattaque à tel gouvernement ou à une organisation en particulier ?

La réponse se divise en deux parties

D’un point de vue technique, les cyberattaques possèdent un ensemble de caractéristiques spécifiques, mais le système d’analyse impartial ne peut que déterminer à quel point une attaque ressemble au travail de tel ou tel groupe de pirates informatiques. En revanche, lorsqu’il s’agit de dire si tel ou tel groupe de pirates informatiques en est à l’origine… comme les renseignements militaires de la sous-unité 233, le groupe pour les projets de recherche avancée de défense ou l’unité opérationnelle des capacités stratégiques conjointes et de la réduction des menaces (toutes ces institutions sont factices, inutiles de faire une recherche sur Google)… cela relève de la politique. Dans ce cas, l’éventualité d’une manipulation des faits s’approche des 100 %. L’attribution peut être technique, établie à partir de preuves et tirée de conclusions exactes, ou bien… relever de la voyance, en lisant les lignes de votre main ou le marc de café. C’est pourquoi nous laissons les médias s’en occuper. Nous restons bien l’écart. En attendant, le pourcentage d’insectes politiques qui se passent de la pommade à base de faits de cybersécurité pure se multiplie lorsque la date de certains événements politiques clés approche. Oh, exactement comme celui prévu dans cinq mois !

Le combat est beaucoup plus facile si nous connaissons l’identité du cybercriminel : la réponse aux incidents peut être déployée sans encombre et avec un risque minimum pour l’entreprise.

Donc oui, nous évitons à tout prix l’attribution politique. Nous nous en tenons à la partie technique. En réalité, c’est notre devoir et c’est ce que nous faisons en tant qu’entreprise. Nous le faisons mieux que n’importe qui, en toute modestie. Nous suivons de près tous les grands groupes de pirates informatiques et leurs opérations (plus de 600 d’entre elles) et ne faisons pas attention à leur éventuelle orientation politique. Un voleur reste un voleur et sa place est en prison. Maintenant, plus de 30 ans après être entré en jeu et avoir collecté en continu de nombreuses données sur les actes numériques répréhensibles, nous sommes enfin prêts à partager tout ce que nous avons obtenu, de façon convenable.

L’autre jour, nous avons lancé un nouveau service exceptionnel pour les experts en cybersécurité. Il s’agit de Kaspersky Threat Attribution Engine (KTAE). Ce produit analyse les fichiers suspects et détermine quel groupe de pirates informatiques pourrait être à l’origine de la cyberattaque. Le combat est beaucoup plus facile si nous connaissons l’identité du cybercriminel puisque cela nous permet de prendre des décisions de contre-mesures informées, d’élaborer un plan d’action, d’établir les priorités et, de façon générale, de déployer une réponse aux incidents sans encombre et avec un risque minimum pour l’entreprise.

Comment est-ce possible ?

Comme je l’ai déjà dit, les cyberattaques présentent de nombreuses caractéristiques purement techniques, autrement dit des  » signaux  » : heure et date de création des fichiers, adresses IP, métadonnées, exploits, fragments de code, mots de passe, langue, normes relatives au nom des fichiers, débogage, outils d’offuscation et de chiffrement, etc. Analysées de façon individuelle, ces caractéristiques ne sont utiles que pour les (a) politiques, qui accusent leurs adversaires sur la scène internationale et renforcent des intentions cachées, ou les (b) mauvais journalistes qui cherchent à avoir un scoop international. Ce n’est que toutes ensembles que nous pouvons savoir à quel groupe de pirates informatiques elles appartiennent.

De plus, la contrefaçon ou l’imitation d’un signal n’a rien de compliqué.

Par exemple, les cybercriminels du groupe Lazarus semblent avoir écrit certains mots russes en caractères latins dans leur code binaire implanté. Pourtant, la construction de ces phrases ne semblerait pas naturelle en russe, sans oublier les erreurs de syntaxe et de grammaire : on penserait alors qu’ils ont utilisé Google Translate, et peut-être est-ce pour mener les experts en sécurité dans la mauvaise direction.

Là encore, n’importe quel groupe de pirates informatiques peut utiliser Google Translate, même dans sa langue maternelle pour que le  » langage utilisé  » soit difficilement considéré comme un indicateur fiable.

Voici un autre cas qui illustre ces propos d’une façon légèrement différente : le groupe Hades (auteur du tristement célèbre ver OlympicDestroyer qui a attaqué l’infrastructure des Jeux olympiques d’hiver de 2018, en Corée du Sud) a utilisé certains signaux, comme l’a fait le groupe Lazarus, et a mené de nombreux chercheurs en bateau puisqu’ils croyaient que les cybercriminels de Hades étaient en réalité ceux de Lazarus. Les autres différences de  » style  » entre les deux groupes ont permis à la plupart des experts de conclure qu’il ne s’agissait pas de Lazarus.

Néanmoins, la réalisation manuelle d’une analyse experte de centaines de caractéristiques, puis leur comparaison avec le style des signatures de chaque groupe de pirates informatiques… est pratiquement impossible si les délais sont courts, si les ressources sont limitées et si l’on veut obtenir des résultats d’une qualité acceptable. Ces résultats sont si nécessaires… Les entreprises veulent rapidement attraper la cyber… pieuvre qui s’en prend à elles, couper chaque tentacule pour qu’elle ne puisse plus jamais se faufiler là où elle ne devrait pas et pouvoir dire à tout le monde comment se protéger de ce dangereux cyber-mollusque.

Les « génotypes » de malwares permettent de trouver des similarités entre le code du malware et les auteurs connus d’APT avec une précision de presque 100 %.

Est-ce ce dont les entreprises avaient si besoin ? Eh bien, il s’avère que c’est exactement ce que nous leur proposons…

Il y a quelques années, nous avons développé un système d’analyse automatisée des fichiers pour l’utiliser en interne. Il fonctionne de la façon suivante : nous extrayons du fichier suspect des informations que nous appelons génotypes (des petits fragments de code sélectionnés à partir de notre propre algorithme) et nous les comparons avec plus de 60 000 objets d’attaques ciblées et une multitude de caractéristiques qui figurent dans notre base de données. Cela nous permet de déterminer quelle est la situation la plus probable quant à l’origine de la cyberattaque, et de fournir une description des groupes de pirates informatiques probablement responsables, ainsi que de leurs liens, aux ressources payantes et gratuites pour obtenir des renseignements plus détaillés et mettre en place une stratégie pour répondre à l’incident.

Vous vous demandez peut-être quelle est la fiabilité de cette recherche ?! Disons tout simplement qu’en trois ans ce système n’a pas commis une seule erreur et a toujours orienté l’enquête en cours dans la bonne direction !

Voici certaines des enquêtes les plus connues ayant utilisé ce système : l’implant LightSpy sous iOS, TajMahal, Shadowhammer, ShadowPad et Dtrack. Dans tous ces cas, le résultat était identique à l’évaluation de nos experts. De plus, nos clients peuvent désormais utiliser cet outil !

Le produit Kaspersky Threat Attribution Engine se présente sous la forme d’un kit de distribution basé sur Linux à installer sur l’ordinateur en air-gap du client (pour une confidentialité maximale). Les mises à jour se font via une clé USB. N’importe quel échantillon de malware détecté par les analystes internes du client peuvent être ajoutés à la base de données de KTAE, qui utilise également une interface de programmation (API) pour connecter le produit aux autres systèmes, y compris s’il s’agit d’un SOC (centre de gestion de la sécurité) de tiers.

Pour conclure, j’aimerai ajouter une clause de non-responsabilité : aucun outil d’analyse automatisée de cyber-activités malveillantes n’offre une garantie de 100 % en termes d’attribution d’attaque. Tout peut être une imitation et un piège, même les solutions les plus avancées. Notre objectif principal est d’orienter les experts dans la bonne direction et de tester les différents scénarios possibles. En outre, malgré les déclarations omniprésentes et retentissantes sur l’efficacité de l’IA (qui n’existe pas vraiment pour le moment), les systèmes d’  » IA  » existants, même les plus intelligents, sont actuellement incapables de tout faire sans l’aide de l’homo sapiens. C’est une synergie entre les machines, les données et les experts (Humachine) qui nous aide aujourd’hui à lutter efficacement contre les cybermenaces les plus complexes.

Kaspersky lance Threat Atrribution Engine, une solution qui analyse les similarités entre les codes et fournit des preuves techniques pour attribuer une APTTweet

Enfin, j’aimerai vous inviter à assister au webinaire du 17 juin pour que vous puissiez voir une démonstration en ligne du produit, écouter directement les explications des développeurs et poser toutes vos questions en temps réel.

C’est tout pour aujourd’hui pour ce qui est de la présentation de notre nouvelle solution KTAE. Vous pouvez obtenir plus de renseignements en consultant la page du produit, la fiche produit et son livre blanc.

PS : Je vous conseille fortement de lire cet article publié par Costin Raiu, un des créateurs de ce produit, où il détaille comment ce produit a été développé et explique certaines subtilités de Kaspersky Threat Attribution Engine en général.

LIRE LES COMMENTAIRES 0
Laisser un commentaire
Facebook

février 27, 2024

Les récompenses ne sont jamais trop nombreuses. Surtout si elles sont européennes !

Bonjour à tous… depuis l’Autriche ! Mais je n’y suis pas allé que pour admirer depuis ma fenêtre le temps morne qu’il fait en Europe. J’y étais pour les affaires – pour faire beaucoup de choses. Mais surtout pour recevoir ça moi-même ! -> … Parce que quand votre entreprise reçoit une récompense qui n’est […]

juin 27, 2023

Experts en cybersécurité : le SAS est de retour et en présentiel !

Trompettes, roulements de tambour, applaudissements, cris d’encouragement, sifflements… ! Par cet acte, j’ai deux nouvelles à vous annoncer : une bonne, et une autre encore meilleure ! Tout d’abord, cette année nous allons organiser la 15ème édition de notre conférence annuelle de cybersécurité : le Security Analyst Summit (SAS). Quinze ? Incroyable, le temps passe si vite ! Ensuite, nous pouvons […]

janvier 19, 2023

Analyse de 2022 : nos brevets ont connu un franc succès !

L’invention de nouvelles technologies de pointe ne représente que la moitié du travail. Attendez, non ! Je ne devrai pas être pas si catégorique… Les nouvelles technologies d’avant-garde et révolutionnaires sont en réalité un cycle de vie probablement beaucoup plus complexe et long que ce que la majorité des gens pensent au premier abord. Évidemment, si […]

novembre 11, 2022

11 / 11 : ce qui s’est passé ces vingt dernières années !

Mesdames et messieurs ! Et tout à coup, nous avons un nouveau jubilé. Hourra ! Notre système d’exploitation cyber-immunisé, KasperskyOS est actuellement… Attendez ! Non, ce n’est pas exact… Il y a exactement 20 ans, le 11 novembre 2002, nous avons entamé un long voyage extrêmement important : un voyage que nous n’avons toujours pas terminé. Un vaste projet […]

juillet 21, 2022

Cyber-histoires du côté obscur (et d’autres positives) : un piratage audacieux de cryptomonnaie, K s’intéresse aux technologies neuromorphiques et comment entrer dans un centre de données depuis… les toilettes !

Bonjour à tous ! Pour ceux qui gagnent leur pain à la sueur de leur front, ceux qui n’ont pas encore la chance d’être partis en désintoxication numérique vacances, voici quelques cyber-actualités croustillantes pour éviter que votre cerveau ne surchauffe. Il s’agit évidemment d’histoires du côté obscur, mais aussi positives, incroyables et difficiles à croire dans […]

juillet 5, 2022

Un Kart de siècle ? Où le temps est-il passé ?!…

Salut à tous ! Il y a 25 ans et neuf jours, le 26 juin 1997, l’entreprise qui porte le même nom que moi a été inscrite aux registres. Il s’agissait de  » débuts modestes « , littéralement : une douzaine de personnes avec un taux de rotation nul – mais avec une expertise technique particulière, et des projets […]

Plus

Carnet de voyage vidéo