Cybersecurite

Identifier les hackers d'états et les cybercriminels

Les chercheurs en sécurité n’ont rien à envier aux enquêteurs de police lorsqu’il s’agit de remonter la piste de hackers.

Bien que différentes, les techniques demandent des moyens sophistiqués et des déductions qui doivent être vérifiées.

Chaque semaine, de nouvelles attaques informatiques sont recensées, Lazarus, Equation, APT28, PutterPanda, Animal Farm, Shamoon et bien d’autres sont la cible des limiers de la sécurité informatique.
Ces enquêteurs d'un genre particulier chassent aussi bien les hackers qui s'en prennent aux utilisateurs de PC landa, que ceux visant des institutions.

C’est sur ces enquêteurs que les états s’appuyant lorsqu’ils accusent nomment un groupe qu’ils pensent agir sur les directives d’un gouvernement.

Comment donner l’attribution d’une attaque

L’attribution d’une attaque n’est pas une science exacte.
Les chercheurs ne sont pas des faiseurs de miracles.

Ils doivent s’appuyer sur un travail long et laborieux pour désigner les coupables.
Les divers indices proviennent de domaines complètement différents les uns des autres.
Ils doivent être analysés, recoupés, analysés encore…

Code binaire pour identifier les hackers

« Il faut s’appuyer sur une équipe aux compétences multiples, comme le reverse engineering, l’analyse d’infrastructures, l’analyse géopolitique et l’investigation inforensique », explique Timo Steffens dans son livre sur le sujet, directeur adjoint du Cert-Bund, le centre d’alerte et de réaction aux attaques informatiques du gouvernement allemand et expert en intelligence artificielle.

La première source utilisée est le code binaire ayant généré l’attaque.

Les ingénieurs spécialisés en retro ingénierie vont le décortiquer pour en tirer le maximum de renseignements.

Procédés d’obfuscation

Malheureusement pour eux, les hackers utilisent des procédés d’obfuscation.
Cette action pratiquée à partir d’un « packer », un logiciel qui va compresser le code afin de le rendre difficilement identifiable et le compresser.

Une fois sur la machine à infecté, il sera décompressé grâce à un module interne.

« Certains groupes de pirates créent leur propre packer et vont le réutiliser à plusieurs occasions. C’est aussi grâce à cela que l’on peut les reconnaître » explique Alexis Dorais-Joncas, chef d’équipe renseignement sécurité chez Eset.

Lorsque le chercheur a réussi à récupérer le code binaire, il peut l’analyser., les fonctions exécutées, comment il s’introduit sur le PC cible, les modules intégrés, le chiffrement des données, quels sont les serveurs contactés….

Le code binaire peut contenir des métas donnés pouvant indiquer le langage utilisé, la date de compilation…

Cette date est importante, si le chercheur dispose de nombreux exemplaires du code.

« Avec de simples méthodes statistiques, il est alors possible d'identifier les habitudes de vie des auteurs. Quels sont leurs horaires de travail ? A quels jours de la semaine produisent-ils leurs codes binaires ? » selon Timo Steffens.

En effet, le fuseau horaire peut être identifié, voire la zone.
Si le travail a lieu du samedi au jeudi, le secteur iranien sera privilégié, la semaine y commençant le samedi.

Pour éviter une manipulation des hackers, les indices doivent être validés.

« Dans la plupart des cas connus, les habitudes de vie ont pu être validés par d’autres indices. On peut donc en déduire qu’il n’y a que peu de groupes qui manipulent de manière systématique les dates de compilation », souligne Timo Steffens.

La société appelée pour nettoyer le parc infecté va faire également des tas d’analyse télémétriques.
Logs de réseau et d’application vont être examinés à la loupe. Le but étant de trouver le « patient zéro » (la première machine infectée).
Ils vont retrouver les différentes étapes de l’attaque. A cette occasion, les professionnels de la sécurité vont récupérer des indicateurs dits « de compromission » (IOC) : un nom de fichier déposé, une adresse IP contactée, un numéro de port utilisé, une certaine application lancée, une manière de voler les mots de passe, etc.

Ces indicateurs vont mettre en lumière les outils et la manière de procéder des attaquants (Tools, Techniques and Procedures, TTP).

La signature des hackers sera identifiée à partir de ces éléments.

« Une clé de chiffrement que l’on trouve dans le code ou sur l’infrastructure de l’attaquant est par exemple un très bon indicateur, car elle est censée rester secrète et ne pas être partagée avec d’autres groupes », précise Alexis Dorais-Joncas.

« D’une certaine manière, cette recherche nous permet de faire un voyage dans le temps et dans l’espace. Elle nous permet de savoir quelles régions ont été ciblées et depuis combien d’années. La télémétrie, c’est vraiment le nerf de la guerre », poursuit Alexis Dorais-Joncas. 

Les sociétés de sécurité, les éditeurs d’antivirus et de solutions de sécurité se servent donc de ces données.
C’est pourquoi il est recommandé aux sociétés de sauvegarder instantanément tous les logs sur des serveurs à part. Ainsi, si l’hacker veut effacer ces traces, donc les logs, elles seront toujours conservées.

Groupe hackers

Dénommer un groupe de hackers

A partir de là, les sociétés de sécurité peuvent soit identifier un groupe connu ou donner un nom à un nouveau.

Les noms sont différents selon les sociétés :
Le groupe de hackers que FireEye a baptisé « APT28 » est appelé « Sednit » par Eset et « Fancy Bear » par CrowdStrike. D’autres noms circulent comme Pawn Storm, Strontium ou Sofacy

« Les sociétés de sécurité analysent quotidiennement des logiciels malveillants et des attaques auprès de leurs clients, ce qui leur permet de mettre à jour les sets d’intrusion. Comme ils ont tous des clients différents, leurs capteurs détectent des attaques différentes. Ce qui crée forcément des différences dans la définition des sets d’intrusion et des groupes », explique Timo Steffens.

Une table de traduction existe, mais elle n’est pas fiable à 100%.

Certains analystes vont par exemple créer des sous-groupes là où d’autres ne verront qu’un seul groupe. Le chercheur en sécurité Florian Roth a tenté de regrouper les différents termes dans un tableur Google en accès libre.

liste des noms de virus

Les chercheurs ne vont pas aller beaucoup plus loin. Même si les noms donnés ont un sens…pour les connaisseurs :

Ainsi, le mot Bear est utilisé pour désigner des hackers russes et le mot Panda pour signifier des hackers chinois.

Les russes ont été affublés de Grizzly Steppe

Utilité des travaux des ingénieurs en sécurité

Ils peuvent définir si l’attaque est cybercriminel (vol de données, de CB…) ou « étatique (espionnage de gouvernement ou de sociétés).

« Tout ce que nous pouvons voir, ce sont les traces laissées par les attaquants. Pour aller plus loin et réellement les identifier, il faut compléter ces informations et s'appuyer sur d'autres sources : il faut pouvoir saisir les serveurs, intercepter des communications, procéder à des écoutes, etc. C’est hors de notre portée », explique Alexis Dorais-Joncas

Des entreprises comme CrowdStrike et FireEye vont quand même jusqu’à nommer des organisations…

Le rapport sur les attaques russes pendant l’élection de Trump ne repose sur aucune preuve officielle.
Simplement pour ne pas dévoiler les techniques de surveillance utilisées par l’administration américaine.

La Russie a donc pu nier sans problème. Le reste est d’ordre de pression politique entre les états.

L’attribution bien qu’hyper technique est encore au stade artisanal.

Elle permet aux sociétés de sécurité d’améliorer leurs produits de protection et peut être une arme politique dans certains cas