Dans ce chapitre, je vous présente le principe et les étapes d'une APT « Advanced Persistent Threat » et les impacts qu'elles peuvent avoir en matière de vol de données, voire de sabotage du système d'information ou d'infrastructures industrielles.
Comprenez les phases d'une APT
Les attaques mentionnées jusqu’ici correspondent à des attaques ponctuelles. Au début des années 2000, des attaquants beaucoup plus organisés sont apparus avec une vision à plus long terme. Ils ne se contentaient plus de compromettre un système ou un autre et de repartir vers un autre objectif. Ils ont profité d’avoir un premier pied dans le système d’information, avoir compromis un premier système, pour ensuite rebondir sur le plus grand nombre possible, parfois des dizaines de milliers de postes de travail, des centaines ou des milliers de serveurs.
Les étapes d'une APT sont généralement :
une compromission initiale ;
une propagation latérale, souvent jusqu’à atteindre les composants les plus privilégiés ;
la mise en place de la rémanence ;
la mise en place des canaux de contrôle depuis l’extérieur et les vecteurs d’exfiltration de données.
La compromission initiale
Par envoi de mails piégés
Cette compromission initiale peut se faire en particulier par envoi de mails piégés aux utilisateurs de l’entreprise (spear phishing), soit au plus grand nombre, ce qui peut s’avérer grossier, soit de manière très ciblée avec des contenu de message qui collent au travail de l’employé concerné. Le piégeage peut se faire soit avec une pièce jointe malveillante, soit en redirigeant vers un site Web qui présente des codes d’exploitation pour compromettre le navigateur Web ou un de ses greffons (par exemple, des lecteurs vidéo ou PDF).
En compromettant un site Web externe
L’envoi de mails peut dans certains cas être remplacé par l’attaquant par la compromission d’un site Web sur lequel il est prévisible que des employés de l’entreprise vont se connecter. La variété de ces cibles est assez large, il peut s’agir du site du CE, un syndicat, un consortium d’entreprises, un site d’actualités spécialisé dans le domaine d’activité, etc.
En piégeant un produit fournisseur
Dans quelques cas, la compromission initiale passe par le piégeage d’un produit chez le fournisseur. Cela a été le cas pour la vague d’attaque Havex/Dragonfly, où 4 fournisseurs d’équipements pour le domaine de l’énergie ont été piraté, l’attaquant a déposé un cheval de Troie dans leur produit. Il a ensuite attendu que le produit soit installé chez différent exploitants pour les compromettre à leur tour.
La propagation latérale
La propagation latérale va se faire assez simplement en collectant sur le premier poste compromis les données d’authentification des utilisateurs, de l’administrateur local, des mots de passe conservés en mémoire de tous les utilisateurs, administrateurs ou tâches de service qui sont utilisées sur le poste. L’attaquant peut ensuite réutiliser ces données d’authentification pour se connecter sur d’autres postes de travail et y installer son cheval de Troie.
Plus l’attaquant a compromis de postes et plus il aura de chance de trouver sur l’un d’eux des données d’authentification d’administrateur avec le plus haut niveau de privilège, par exemple un Administrateur de Domaine Windows.
A défaut, il peut aussi viser des postes de travail sensibles, comme ceux des administrateurs ou des composants d’infrastructures critiques, comme le serveur de sauvegarde, le serveur de distribution de logiciels et de mises à jour, le serveur de supervision, etc. Ces systèmes ont souvent le droit de se connecter sur tous les autres composants du système d’information, la plupart du temps avec un niveau de privilège élevé.
La rémanence
Il peut s’agir d’installer un cheval de Troie sur les différents systèmes. Parfois, en installer plusieurs différents histoire de résister à l’identification et au nettoyage de l’un d’eux.
L’attaquant peut aussi rajouter des portes dérobées dans des applications ouvertes sur l’extérieur, se créer des comptes spécifiques d’administration ou de service, y compris sur les équipements réseau ou de sécurité.
Le Command&Control
Le plus souvent, ses chevaux de Troie communiquent par HTTP ou HTTPS. Il est fréquent qu’il utilise aussi d’autres vecteurs de sortie, comme des accès VPN, des points accès Internet annexes, parfois mal identifiés et non maîtrisés par la DSI.
Il peut aussi transmettre des documents par mail, utiliser une « boite morte » dans un Webmail. Par exemple avoir des mails en Brouillon, avec une pièce jointe, qui sont créés de l’intérieur du réseau, jamais envoyé, récupéré par l’accès externe du Webmail puis supprimé.
Un accès Sharepoint pourra aussi lui être très utile pour déposer des archives de documents et les récupérer par l’accès qui serait ouvert depuis Internet. Comme pour la persistance, un des enjeux pour l’attaquant sera de diversifier ses canaux de contrôle et d’exfiltration de documents. Et il pourra sortir parfois pendant des mois et des mois plusieurs centaines de Go !
Le sabotage de systèmes
De plus en plus de cas nous montrent qu’une APT n’a pas forcément comme impact uniquement le vol de données, mais peut aller jusqu’au sabotage du système d’information ou d’une infrastructure industrielle !
L'exemple frappant de Stuxnet
Pour les systèmes industriels, le cas qui a initialement mis cela en évidence est Stuxnet, l’attaque qui a visé jusqu’en 2010 les centrifugeuses iraniennes pour enrichir l’uranium. Le schéma d’attaque est complexe :
renseignement humain,
piratage de fournisseurs,
infection initiale par média amovible en utilisant une vulnérabilité jusque-là inconnue,
reprogrammation des automates qui contrôlent les cascades de centrifugeuses pour les faire tourner à une fréquence de rotation qui les endommage,
piratage du superviseur SCADA pour afficher néanmoins la fréquence normale et non celle qui sort des limites de fonctionnement…
Bref, un cocktail détonnant dans ce scénario d’attaque évoluée, qui a induit des dégâts de plusieurs centaines de millions d’euros et des retards de plusieurs années sur le programme d’enrichissement iranien !
D'autres types d'attaques
De nombreux autres cas se sont produits, entraînant l’arrêt d’une usine sidérurgique allemande, la panne du réseau électrique ukrainien, l’arrêt de chaînes de production automobiles, l'effacement de dizaines de milliers de postes de travail et serveurs d'un producteur pétrolier du golfe, etc.
Le sabotage se généralise aussi au travers des cryptolockers, des malwares qui, après une propagation latérale, chiffrent l'ensemble des systèmes compromis et demandent une rançon contre la clé de déchiffrement.
En résumé
La compromission initiale, source d'une APT, peut provenir de vecteurs variés : spear phishing, sites web compromis, pièce jointe piégée, compromission de fournisseurs, etc.
Les attaquants peuvent rebondir sur des centaines ou milliers de systèmes de l'infrastructure.
Ils organisent leur rémanences pour rester maître des systèmes compromis pendant parfois plusieurs années.
L'APT peut aller jusqu'au sabotage du système d'information et d'infrastructures industrielles.
