Close

Les “faux drapeaux” cyber : l’attribution sous pression

La difficulté d’attribution d’une cyberattaque est exacerbée par l’existence de ce que l’on qualifie de « faux drapeaux », c’est-à-dire de manipulations par un attaquant des traces techniques de son attaque – ou « artefacts » – et ce afin de tromper les enquêteurs sur l’origine réelle de la cyberattaque. De nombreuses techniques sont à disposition de l’attaquant : modification des métadonnées des malwares et outils qu’il confectionne et utilise, falsification des journaux d’évènements (logs) dans l’infrastructure de la victime dont il a le contrôle, réutilisation de malwares ou de mode opératoire d’un autre groupe d’attaquant… mais également opportunisme dans le choix de la cible, en profitant de l’existence d’un suspect plus évident au regard de la situation géopolitique.

Avec la politisation grandissante du cyberespace, les conséquences d’une mauvaise attribution sont amenées à avoir des impacts des plus en plus sérieux dans le monde réel. En outre, le doute dans l’attribution met à mal toute stratégie de dissuasion: sans possibilité d’attribuer une cyberattaque avec certitude, difficile de faire valoir ses capacités de riposte. Dans ces conditions, la connaissance et la compréhension des mécanismes en jeu dans le cadre des faux drapeaux cyber est essentielle.

Méthodologie d’attribution et artefacts

Le processus d’attribution s’appuie à la fois sur des éléments techniques et des éléments de contexte socio-politique. Les principales sources d’informations utiles à l’attribution sont les suivantes :

  • L’analyse forensique des ressources de la victime : principalement les journaux d’évènements réseaux ou de ses machines victimes, ainsi que les malwares et fichiers associés qui pourraient y avoir été retrouvés ;
  • Les services numériques externes : registres DNS, données de réseaux sociaux (profils, visites de pages des victimes et tentatives de contact, etc.), service de messagerie, etc. Certaines de ces informations sont en source ouverte, mais d’autres peuvent requérir une coopération avec le service concerné ;
  • Les informations de Threat Intelligence, qu’elles soient internes à l’organisation en charge de l’analyse, ou externe : coopérations avec d’autres organisations ou rapports publics issus de l’industrie, d’académies ou de médias ;
  • Le contexte géopolitique qui permet de générer des hypothèses relatives aux objectifs potentiels de l’attaque.

On peut noter que les artefacts – les traces techniques de l’attaque – utiles pour la détection d’une attaque ne sont pas forcément pertinents pour son attribution. Les informations techniques qui intéressent tout particulièrement l’analyste dans le cadre d’une tentative d’attribution car ils permettent de cerner le profil de l’attaquant par déduction et croisement sont :

Les informations relatives aux outils, tactiques et procédures (TTP) :

  • La méthode de reconnaissance de la cible par son ou ses attaquants ;
  • La méthode de distribution des malwares, tant électronique (mail, messagerie instantanée, réseaux sociaux, infection par téléchargement ou « drive-by», envoi après exploitation de faille sur l’infrastructure web frontale… ) que physique (clé USB abandonnée, intrusion dans les locaux, etc.). Dans le cas d’un phishing, on s’intéressera aussi au type de mail (artisanaux ou générés automatiquement) ainsi qu’à son contenu, qui peut révéler le niveau de connaissance de l’auteur sur sa cible ;
  • La méthode de communication des attaquants avec leur cible (mail, messagerie instantanée, téléphone, etc.). Les éventuelles erreurs orthographiques ou grammaticales récurrentes peuvent permettre d’identifier la langue d’origine de l’auteur ;
  • Les indices sur l’organisation du travail des attaquants : profils de comportement permettant d’émettre ces hypothèses sur le nombre de personnes concernées, leurs heures de travail
  • Les informations issues de l’analyse des malwares :
  1. Les attributs du malware : noms de variable, URLs et IDs, style de programmation (qui pourra différer d’un développeur à un autre). Selon le langage de programmation utilisé, les méta-données du malware peuvent également comporter des informations sur l’arborescence du code source qui peut comprendre le pseudonyme du programmeur ;
  2. Les meta-données du malware, qui contiennent des informations sur l’étape de compilation : date et heure, paramètres de région et de langue ou encore version du compilateur ;
  3. L’architecture du malware : est-ce un code monolithique ou est-il au contraire très modulaire ?
  • L’utilisation éventuelle par l’attaquant de certaines vulnérabilités connues, ou au contraire de failles 0-day ;
  • Les techniques d’évasion intégrées au malware ou relatives aux tactiques et procédures employées ;
  • Les informations d’identification (pseudonymes, emails, etc.) utilisées par les attaquants lors de la reconnaissance ou du phishing.

Les informations sur les infrastructures utilisées pour l’attaque :

  • Les adresses URL et IP, qu’elles soient détectées dans les logs réseaux ou machines de la victime ou présentes dans le code des malwares employés ;
  • Les informations liées aux noms de domaines et serveurs utilisés par les attaquants : identités, pseudonymes, emails, informations de paiement, etc. Il est à ce titre important de s’attacher aux associations chronologiques IP-domaines (celles-ci étant dynamiques).

L’ensemble ces données techniques est croisé avec les informations de Threat Intelligence disponibles, à la recherche de correspondances et de recoupements. Le partage des données de Threat Intelligence est donc essentiel à l’attribution, et par là même à la détection de faux drapeaux. A cette étape, il est important de noter que toutes ces données techniques n’ont pas la même valeur dans le procédé d’attribution car elles peuvent être volontairement faussées par les auteurs de l’attaque. Ceci est d’autant plus vrai pour les données relevées au sein de l’infrastructure de la victime, les données relatives aux services externes étant plus difficilement falsifiables car cela nécessiterait de compromettre ces mêmes services également. La valeur de ces indices dépend principalement du niveau de confiance que l’on peut leur accorder, qui dépend quant à lui pour partie de la difficulté à les fausser. Les modes opératoires sont considérés être les indicateurs les plus fiables[1], et ce d’autant plus s’ils démontrent un niveau avancé de sophistication : il sera en effet plus facile pour un acteur avancé de simuler un faible niveau de sophistication que le contraire. De même, le niveau d’effort requis pour réaliser une attaque complexe peut constituer un indice fort pour l’attribution (éliminant par exemple l’option d’une attaque opportuniste par un pirate de faible envergure). À l’inverse, les modes de communication ou l’armement cyber de l’attaquant (les malwares et les outils qu’il utilise) sont considérés comme moins fiables, et ce d’autant plus s’ils ont fait l’objet de rapports publics par le passé.

Du fait de la nature reconvertible de l’armement cyber – un malware utilisé contre une cible peut être analysé et réutilisé par cette dernière –, l’utilisation d’un malware spécifique ne saurait être suffisant à l’attribution, de même des meta-données de fichiers malveillants, facilement falsifiables par un attaquant déterminé. Ceci est d’autant plus vrai que les groupes dits « APT » (Advanced Persistant Threat) s’attaquent les uns les autres, que ce soit pour se voler mutuellement de l’armement à des fins de détection de leurs attaques respectives et de réutilisation dans le cadre d’autres attaques, mais aussi parfois afin de lancer des attaques depuis les serveurs de leurs concurrents. On peut citer le cas du probable piratage[2] d’un serveur Command & Control (« C2 ») du groupe de pirates Equation Group[3] et la publication de ses exploits par le groupe Shadowbroker[4], ou l’exemple de groupe APT russe Energetic Bear dont un serveur C2 avait été piraté par un groupe chinois[5]. Plus récemment, il y a l’exemple du groupe Turla, qui a d’abord intégré à son arsenal des outils initialement conçus par le groupe APT34, avant de prendre contrôle d’une partie de l’infrastructure d’APT34 afin de déployer ses propres backdoors sur les victimes du groupe[6].

En termes de recherche de l’intention et des objectifs des attaquants, il convient pour les analystes de se pencher sur les trois questions suivantes :

  • Quelles sont les conséquences de l’attaque et qui peut en bénéficier ?
  • Quelles conséquences de l’attaque, directes ou indirectes, ont le plus d’effet ?
  • Un évènement ou une évolution géopolitique peut-il être associé à l’attaque ?

Il est essentiel pour cette étape de recherche des motivations potentielles des attaquants de conserver un spectre large, qui ne soit pas seulement guidé par les artefacts disponibles.

Exemples de probables cyberattaques sous faux drapeaux

Le piratage de TV5 Monde constitue un bon exemple d’attaque sous faux drapeau. Le 8 avril 2015, l’infrastructure de diffusion de TV5 Monde a été neutralisée par une cyberattaque, de même que son serveur de messagerie. Les comptes Twitter et Facebook de la chaîne ont également été piratés, diffusant des messages pro Daech et des documents concernant des proches de militaires français. Si l’attaque est signée (littéralement dans les messages diffusés) Cyber Caliphate, l’enquête s’orientera finalement vers le groupe russe APT28 : similitudes dans le mode opératoire, infrastructure externe commune et méta-données indiquant des paramètres régionaux cyrilliques et des compilations correspondant aux heures de travail de Moscou et Saint-Pétersbourg. D’autre part, l’attaque s’inscrivait dans un contexte de forte détérioration des relations bilatérales entre la Russie et la France dans le sillage des conflits syriens et ukraniens, et a eu lieu après l’annulation par la France de la vente des deux navires Mistral Vladivostok et Sébastopol à la Russie.

Le cas Olympic Destroyer est également intéressant. Au premier jour des Jeux olympiques d’hiver 2018 organisés par la Corée du Sud, l’évènement a été perturbé par un malware de type wiper[7], visant à détruire des données, ciblant les réseaux de l’organisation et qui a notamment fait tomber le principal site web de l’évènement ainsi que les réseaux Wi-Fi locaux. La Corée du Nord constituait alors le suspect évident, avec son riche passif de cyberattaques sur son voisin du sud. Le code de destruction de données partageait d’ailleurs des caractéristiques avec celui du groupe nord-coréen Lazarus : destruction des 4086 premiers octets de données, header (contenant les méta-données de compilation du code source) identique… Seulement, ce header n’était pas conforme au contenu réel du malware : cette métadonnée avait été contrefaite[8]. D’un point de vue diplomatique, on pouvait également s’interroger sur l’opportunité pour la Corée du Nord de lancer cette attaque, aux effets finalement modérés, à ce moment précis, alors que l’heure était alors plutôt au réchauffement des relations : invitation du président sud-coréen à Pyongyang, envoi de la sœur de Kim Jong-un en émissaire diplomatique pour les Jeux olympiques, décision d’unir les équipes féminines coréennes de hockey[9]… à moins qu’il se fut agit d’un faux-faux drapeau ?

L’implication de la Russie a également été envisagée : politiquement, elle avait un mobile sérieux car elle avait été bannie des jeux suite aux investigations de dopage de ses athlètes, investigations pendant lesquelles le groupe Fancy Bear avait d’ailleurs été très actif à l’encontre de nombreuses cibles liées aux Jeux olympiques (équipes d’investigation, organisations sportives, etc.). À tel point que la Russie avait même été accusée avant même cette attaque de chercher à saboter ces Jeux olympiques en passant par le cyberespace, ce que son Ministre des Affaires étrangères a réfuté plusieurs jours avant l’évènement[10] : difficile dans ces conditions de reprocher à la Russie d’avoir souhaité envoyer un message clair à ses adversaires au travers de cette attaque.

Enfin, une partie du code de vol de mots de passe était identique à celui utilisé par le groupe APT3, précédemment associé à l’État chinois, de même qu’un composant de génération de clés de chiffrement au groupe APT10, également chinois.

L’attaque Olympic Destroyer, qui n’a toujours pas pu être imputée définitivement, constitue aujourd’hui un bon exemple de la marche à suivre pour brouiller les pistes et empêcher l’attribution : intégrer suffisamment d’indices discordants afin de semer confusion et incertitude.

Conclusions

S’il est facile pour l’attaquant de semer des indices pointant dans une mauvaise direction pour égarer l’analyste, il est tout aussi facile pour ce dernier de suivre ces indices trompeurs sans même le savoir : confronté à un amas d’informations, le cerveau tente de dégager des tendances et élimine plus ou moins consciemment les éléments discordants. C’est ce qui rend les faux drapeaux aussi efficaces. Afin de s’en protéger, il est nécessaire au contraire de traquer les dissonances dans le scénario apparent, et les signaux faibles qui peuvent révéler une erreur et trahir l’attaquant. Face à la multiplication des données techniques liée à la complexité grandissante des systèmes, s’il est difficile pour les analystes de procéder à une attribution, le faux drapeau reste un exercice périlleux pour l’attaquant qui doit réaliser un sans-faute.

Paradoxalement, les indices techniques, qui devraient sembler être les plus objectifs et fiables car factuels – malwares, metadonnées, infrastructure utilisée, etc. – sont également ceux qui sont le plus facilement falsifiables. L’analyse des modes opératoires, quoique généralement plus fiable, ne saurait suffire à l’attribution, d’autant que les groupes APT adoptent régulièrement les TTPs de leurs adversaires. Les analystes doivent également prendre en compte les développements géopolitiques et diplomatiques de l’ensemble des acteurs potentiels, et pas seulement de ceux qui semblent les plus évidents au vu des seules données techniques. Cela explique en partie que les analystes préfèrent généralement faire l’impasse sur une attribution explicite et préfèrent se limiter à la présentation des indices techniques relevés qui constituent un « faisceau d’indices » concordants.

Le processus d’attribution ne permettra que d’émettre des hypothèses associées à différents degrés de confiance, et il semble clair que si l’on souhaite croire avec certitude, il faut commencer par douter.

 

[1] https://link.springer.com/article/10.1186/s42400-020-00048-4/tables/2

[2] L’origine exact de la fuite n’est pas connue du grand public, il s’agit de l’hypothèse avancée par Edward Snowden et qui semble faire consensus, l’autre hypothèse étant celle d’une fuite interne.

[3] L’Equation Group (groupe Équation) est le nom attribué à un groupe informatique de cyber-espionnage de haut niveau lié à la National Security Agency (NSA)

[4] L’origine et les motivations du groupe ShadowBrokers restent en question. Une analyse linguistique par Shlomo Argamon, directeur du programme de master en sciences de données à l’Illinois Institute of Technology conclue que l’auteur des messages du groupe serait probablement un anglophone cherchant à se faire passer pour un natif d’une région non-anglophone.

[5] https://www.bleepingcomputer.com/news/security/spies-hack-but-the-best-spies-hack-other-spies-/

[6] https://media.defense.gov/2019/Oct/18/2002197242/-1/-1/0/NSA_CSA_TURLA_20191021%20VER%203%20-%20COPY.PDF

[7] Un wiper est un malware visant à détruire des données, soit de façon exhaustive, soit de façon plus ciblé en vue de sabotage des systèmes visés.

[8] https://securelist.com/the-devils-in-the-rich-header/84348/

[9] https://www.wired.com/story/untold-story-2018-olympics-destroyer-cyberattack/

[10] https://www.reuters.com/article/us-olympics-2018-cyber/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036