S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
Dossier
Technos
par shaman

Les Cyber-Contes : deux nuances de compromission du monde

Comment en quelques semaines les cyber-cartes ont été rebattues.

Le "cyber", personne n'y comprend rien ! Sauf les experts, et encore. Pourtant, assorti d'un petit effort de vulgarisation, ces nouvelles cryptiques peuvent devenir des chroniques palpitantes qui amèneront leurs lots d'enseignements. Ce premier volet des "cyber-contes" s'attaquera aux deux grands hacks aux conséquences encore floue, mais qui promettent de donner le cyber-tempo en 2021.

Ces capture d'écran seront les seuls éléments techniques de cet article. Ce cyber-conte est accessible aux non initiés.

L'année 2020 a été haute en couleur. Nos sociétés ont tremblé sous les coups du connard de virus. Mais nous avons tenu et cette maudite année prenait -enfin- fin. Pourtant, dès les premiers jours, 2021, a clairement annoncé son envie de se démarquer, elle aussi. Des lames de fonds continuent à balayer l'ancien monde et si certaines dynamiques s'annoncent hautes et claires, d'autres plus discrètes ne sont accessibles qu'aux experts et autres crypto-aficionados. C'est traditionnellement le cas du milieu élusif de l'espionnage étatique et de la cyber-gué-guerre. Depuis quelques semaines deux affaires ont fait surface, deux affaires qui provoquent déjà des vagues dont les Internets pourraient ressentir les remous pendant bien des années. Alors quitte à être sur la touche de ces jeux de puissants, autant profiter du spectacle confortablement.

Cette histoire commence il y a un an et demi, le 04 septembre 2019, dans une obscure salle serveur d'un data-center à Austin, Texas, États-unis.

Dans le noir, au fond d'une salle réfrigérée et sécurisée, sur une machine semblable à toutes les autres machines qui ronronnent sur les armoires, une diode s'allume. Cette diode ne s'allume pas comme cela habituellement. Sur la machine, des processus s'activent, la soufflerie se fait imperceptiblement plus forte. Un nouveau visiteur vient de se connecter. Ce visiteur ne respecte pas les horaires ni les codes habituels. Il parle à la machine à travers des canaux étranges mais la machine l'accepte car il connait les clefs.

Cette machine n'est pas n'importe laquelle des machines. Placée au fond du réseau de l'entreprise "SolarWinds", elle a à charge de reconstruire chaque jour le logiciel "Orion". Orion est le logiciel phare de cette société, permettant l'administration et la surveillance de grands réseaux. Un service sensible qui doit constamment évoluer pour protéger ses clients. Ainsi, chaque jour, notre machine rassemble les lignes de code écrites pas les ingénieurs de Solarwinds dans la journée, vérifie que tout ceci soit cohérent avant de le traduire en langage machine (compilation) et le signer pour que tous les clients de la société puissent bénéficier des dernières avancées.

Le nouveau visiteur est prudent. Comment est-il arrivé ici ? Un employé peu consciencieux a-t-il cliqué sur un mail accrocheur ouvrant la voie à un malware infectant son poste de travail ? Et de ce point d'entrée, des opérateurs malicieux auraient-ils pris le contrôle et se seraient déplacés latéralement augmentant leurs niveaux d'accès dans le réseau de Solarwinds? L'attaquant a-t-il trouvé le mot de passe de le machine sur un dépôt de code github public, laissé là par un stagiaire imprudent ?

Le nouveau visiteur avance à pas feutrés. Il apprend d'abord à connaitre notre machine. Il la modifie subtilement. En octobre 2019, celle-ci va produire une première version du logiciel Orion infecté par une souche inoffensive. Pourtant, les ingénieurs de Solarwinds ne voient rien. Car la machine n'est plus vraiment la leur : pour eux, elle produit toujours un logiciel sain. Les attaquants déclenchent leur offensive le 20 février 2020. Cette fois la machine va construire une version du logiciel Orion infectée d'une charge hautement offensive et discrète, un malware se propageant dans la mémoire de ses cibles sans jamais être écrit sur le disque dur. Une porte d'entrée ne s'activant que dans certaines conditions hautement favorables. Une charge camouflée dans une mise à jour d'Orion signée par Solarwinds et donc... totalement légitime. Une version qui va alors être promptement téléchargée en toute confiance par les 18.000 clients de la société.

Il faut attendre décembre pour que l'entreprise FireEye, un poids lourd du complexe de la cybersécurité des US, détecte une activité suspecte sur son réseau interne. Des intrus ont accédé à la salle virtuelle des armes, la partie du réseau où la firme conserve ses outils offensifs et "exploits" encore inconnus. Les traces de l'attaque les mènent jusqu'au logiciel Orion et ils commencent très vite à pressentir une attaque d'une grande ampleur. À peine leur analyse publiée, voilà que Microsoft annonce aussi avoir été piraté. Quelques jours plus tard, c'est au tour du Trésor Américain. Puis du département de la Justice et du Commerce. Et les annonces de se succéder. On estime aujourd'hui que 9 agences gouvernementales américaines (incluant le Pentagone et le Département d'État) et plus de 100 grandes compagnies technologiques américaines auraient été impactées. Tom Brossert, l'ancien conseiller de la sécurité de Trump a annoncé qu'il faudrait "des années pour que les réseaux soient à nouveau sécurisés". Avec le niveau d'accès dont les pirates ont profité pendant six longs mois dans les agences gouvernementales, tout peut être considéré comme compromis. Données, utilisateurs, processus. Et le pire n'est pas là. L'attaque appliquée au logiciel Orion, appelée "Third party attack", "Supply chain Attack" a pu être reproduite sur les logiciels d'autres entreprises compromises par les hackers pendant l'opération. L'ensemble des logiciels US sont-ils infectés ?

Les Russes à la manoeuvre ?

Des parlementaires ayant assisté aux briefings confidentiels ont accusés la Russie et son fameux groupe "Cozy Bear" ou "APT29". Des affirmations se passant pour le moment de preuves, ouvrant ainsi l'espace à certains analystes pour évoquer d'autres pistes possibles.

Microsoft, qui a longuement investigué l'attaque, a annoncé avoir mis plus de 1000 ingénieurs sur le coup et a affirmé que les adversaires devaient avoir des ressources équivalentes. Brad Smith, directeur de la méga corporation, a annoncé le 15 février :

"il est probablement juste de dire que c'est l'attaque la plus large et la plus sophistiquée que le monde ai jamais pu voir".

2021 ne prendra que quelques jours pour lui donner cruellement tort.

Graphique décrivant les différents groupes de hackers sponsorisés par le gouvernement russe. APT29, soupçonné de l'attaque "Solarwinds" trône au centre. - Services secret estoniens
Graphique décrivant les différents groupes de hackers sponsorisés par le gouvernement russe. APT29, soupçonné de l'attaque "Solarwinds" trône au centre. - Services secret estoniens

Cette seconde histoire débute chez DEVCOR, une société d'audit en sécurité informatique. En octobre 2020, ses chercheurs décident de s'attaquer à la sécurité du serveur Exchange, le serveur phare de Microsoft destiné à la gestion des emails et utilisé dans de nombreuses organisations à travers le monde. Un mois plus tard, ces recherches commencent à porter leurs fruits et une première vulnérabilité critique est découverte. Quelques jours plus tard, ils en découvrent une deuxième. Le 31 décembre 2020, ils ont assemblé ces failles et obtenu une arme informatique (ou "exploit") capable de prendre le contrôle total de ces serveurs clefs de l'infrastructure informatique des entreprises. Le 5 janvier 2021, ils envoient à Microsoft les résultats de leurs recherches avec le fameux exploit, en copie et prêt à l'emploi.

Mais un grain de sable est-il venu se mêler à cette mécanique bien huilée ? Cette arme informatique ou "exploit" a-t-il fuité ? DEVCOR s'est elle-même posé la question, y compris en évoquant la possibilité d'avoir été piratée et que l'exploit utilisé soit le sien.

Les premières traces de l'attaque sont détectées dès le 3 janvier. Volexity, une entreprise gérant la sécurité de plusieurs clients, repère un comportement anormal sur un serveur Exchange. Ce serveur suspect semble exfiltrer de gros paquet de données vers une adresse non usuelle. Les ingénieurs vont aller de surprises en surprises. Une analyse approfondie révèle un trafic étrange utilisant les fonctionnalités légitimes du produit de manière inopinée. Ils mettent alors à jour une puis deux puis jusqu'à quatre vulnérabilités encore inconnues à ce jour (nommées généralement "Zero Day" ou "0day"). Les attaquants s'en servent d'abord pour subtiliser les contenus des boites mails de leurs cibles. Puis la firme les voit évoluer, utiliser une nouvelle faille pour déposer des malwares sur les machines et commencer à pénétrer plus en avant sur les réseaux de leurs victimes.

Le 18 janvier, c'est au tour de l'entreprise suédoise DUBEX de voir les serveurs mails de ses clients infectés par des "Web Shells", de petits programmes ouvrant une porte arrière à des pirates pour revenir plus tard et pénétrer plus avant dans les réseaux infestés. Malgré ces signaux inquiétants, Microsoft, peut être embourbé dans l'affaire SolarWinds, prend deux mois pour corriger ces failles et confirme planifier des correctifs pour quatre vulnérabilités critiques pour le 9 mars.

Mais le timing des hackers n'est pas celui des défenseurs. Les chercheurs observent, dès le 26 février, les attaquants transformer leurs méthodes passant d'attaques ciblées vers une exploitation indiscriminée et massive. Les pirates anticipent le correctif de Microsoft. Différents moteurs de recherches voient des requêtes d'utilisateurs malicieux à la recherche de ces fameux serveurs "Exchange". Des scans massifs parcourent les internets pour n'en louper aucun.

En bout de chaine, des programmes automatisés infectent les serveurs avec ces portes dérobées permettant aux pirates de revenir même lorsque les serveurs auront été corrigés. Microsoft, exceptionnellement, est poussé à sortir son correctif une semaine plus tôt. Toujours trop tard. Chaque minute, chaque heure des milliers de serveurs supplémentaires sont corrompus. Au 7 mars, Brian Krebs, estime à plus de 30 000 serveurs d'organisations infectés aux États-Unis, des chiffres annoncés comme sous estimés dès le lendemain matin.

Et maintenant la Chine...

L'attaque est d'abord attribuée, avec un haut niveau de confiance, à Hafnium, un groupe soutenu par le gouvernement chinois. Mais dès le 5 mars, trois jours après la diffusion de son "patch", Microsoft signale que la menace a évoluée et que la vulnérabilité est à présent exploitée par plusieurs groupes derrière Hafnium. Les chercheurs repèrent au moins cinq groupes de hackers à la manoeuvre et reconnaissable à leurs habitudes, leurs outils et leurs techniques. Et tous, suspectés d'être liés au gouvernement chinois. Les chercheurs s'interrogent : Que s'est il passé pour que la Chine s'affranchisse des règles de cyber-bienséance ? Un contractant a-t-il échappé au contrôle de ses maitres ? Un cyber-gang a-t-il dérapé ? La vulnérabilité a-t-elle été vendue à d'autres groupes par Hafnium ? Les différents groupes agissent-ils sous mandat gouvernemental ?

Et quid du principe de réalité ? Pourquoi analyser tout ceci autrement qu'à l'aune des analyses gains / risques promues par les entreprises de conseils depuis toutes ces années ?

Face à une faille d'une potentialité rare, amenée à périmer sous quelques jours, quelle meilleure stratégie pragmatique adopter ? Une nouvelle version de la stratégie d'"épuisement des ressources" ? Un "Shock & Awe" numérique ? Face à un milieu de la sécurité déjà débordé par les suites de l'affaire Solarwinds, pourquoi ne pas changer d'échelle et saturer les ressources de l'adversaire par une tâche impossible à réaliser. Prendre de court la nouvelle administration Biden qui s'apprêtait à répondre à l'attaque Solarwinds pilotée par les Russes. Et Brian Krebs de citer un expert gouvernemental : "Si ces nombres atteignent des dizaine de milliers, comment la réponse à incident va-t-elle être faite ? Il n'y a tout simplement pas assez d'équipes de réponse à incident pour nettoyer rapidement". Avec des "backdoors" déjà observées sur des banques, des fournisseur Internet, des services publics et les sites des grandes villes, des serveurs de la police ou des pompiers la tâche semble prendre des proportions "Herculéennes".

Dans cet ensemble de serveurs compromis à travers le monde, des cibles inintéressantes, mais aussi des pépites comme l'Autorité bancaire européenne, qui engendreront d'autres fuites de comptes, générant d'autres accès dans les futures années. Au vu des options géopolitiques sans cesse rebattues, pourquoi se priver de profiter d'une telle opportunité ? China just owned the world !

Et voilà notre administration Biden, à peine débourbée d'une prise de fonction chaotique, se retrouvant face à une crise géopolitique sans comparaison. Une crise qui ne s'annonce pas haut et fort, mais qui n'en est pas moins brutalement tangible. En quelques mois, voilà les réseaux Américains totalement compromis du sol au plafond. Compromis ouvertement par ses deux grands adversaires géopolitiques. Ouverts aux groupes mafieux, ouverts à l'espionnage économique ciblé. Ses grandes solutions logicielles soupçonnées d'être infectées. Avec des années de travail pour reprendre en main la situation.

(rare film des hackers russes à la solde de Poutine en action...)

5 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée