Les chercheurs de l’équipe GreAT de Kaspersky sont habitués à se pencher sur les groupes cybercriminels les plus sophistiqués, opérant notamment dans le domaine du cyberespionnage. Mais si certains indices pouvaient permettre auparavant d’attribuer certaines cyberattaques à des groupes, la complexification de l’écosystème et des cyberattaques compliquent considérablement la tâche des analystes. À l’occasion d’un retour sur plusieurs groupes APT (Advanced Persistent Threat, terme utilisé pour designer les groupes cybercriminels les plus sophistiqués), les chercheurs de Kaspersky ont voulu montrer à quel point l’attribution d’une cyberattaque à un groupe précis est aujourd’hui devenue compliquée.
« Auparavant, nous avions des méthodes assez simples pour attribuer des attaques à un groupe : en identifiant les outils utilisés, les modes opératoires ou encore certaines métadonnées, on pouvait identifier un groupe à l’oeuvre. Mais aujourd’hui, cela, devient de plus en plus difficile pour nous de faire de l’attribution » expliquait sur scène Pierre Delcher, chercheur chez Kaspersky.
Les limites de l’attribution
Exemple à l’appui : Paul Rascagneres est ainsi revenu sur l’exemple de GhostEmperor, un groupe APT identifié par Kaspersky au mois de juillet 2021. Ce groupe vise principalement des cibles en Asie du sud-est, et au Moyen-Orient. Il se distingue par l’utilisation d’un rootkit, et surtout de méthodes non documentées publiquement pour charger celui-ci dans la mémoire des appareils visés. « C’est le signe d’un attaquant très sophistiqué. Mais, en analysant les attaques menées par le groupe, nous avons constaté qu’ils partageaient leur infrastructure avec un autre groupe, connu sous le nom de Famous Sparrow »
Famous Sparrow est le nom donné à un autre groupe APT identifié et décortiqué en septembre 2021 par la société de cybersécurité ESET. Le rapport publié par ESET présente un groupe qui vise avant tout des hôtels à travers le monde, mais aussi des organisations gouvernementales diverses. Le tout en utilisant des modes opératoires assez similaires.
ESET notait déjà dans son rapport que l’attribution de ces attaques à un seul et même groupe était une tâche complexe : si le dénominateur commun des attaques attribuées à Famous Sparrow est l’utilisation d’un logiciel malveillant de type backdoor spécifique au groupe, la société de cybersécurité soulignait l’utilisation de plusieurs outils et serveurs exploités par d’autres groupes APT. Et Kaspersky remarque de son côté que le groupe GhostEmperor utilise également des serveurs précédemment utilisés par FamousSparrow dans d’autres opérations.
Vraie fausse disparition
Autre exemple présenté par les chercheurs : le groupe baptisé Iamtheking, aussi connu sous le nom de Slothfulmedia. Ce groupe, actif jusqu’à fin 2020, vise principalement des cibles gouvernementales basées en Russie. Puis à partir de 2020, le groupe se tourne vers des victimes basées en Asie. « Il se distingue par l’utilisation d’outils d’intrusions uniques et très évolutifs, ainsi que par l’utilisation de deux logiciels malveillants, Shadowpad et Quarium, généralement utilisés par les groupes APT dans la région asiatique », expliquent les chercheurs.
Une publication de l’agence de cybersécurité américaine en 2020 met en lumière les activités du groupe, qui disparaît des radars peu de temps après. « Mais on observe que que les infrastructures utilisées par le groupe sont reutilisées par d’autres groupes aujourd’hui » constatent les chercheurs de Kaspersky, qui s’interrogent sur la signification de cette évolution. S’agissait-il d’un seul groupe, ou de plusieurs opérateurs travaillant avec une même panoplie d’outils partagés ?
« Ce que l’on constate, c’est qu’il est aujourd’hui possible d’avoir des intrusions exploitant le même mode opératoire, mais qui conduisent parfois à des malwares différents, des campagnes d’attaques menées par des acteurs distincts contre un même groupe, ou encore des acteurs dont les capacités ont été détournées de leur usage initial » résument les chercheurs de Kaspersky. Et cette complexité ne fait pas l’affaire des chercheurs en sécurité : « Il faut bien se le dire, avoir plusieurs attaquants sur un même système c’est un cauchemar pour les analystes. Cela devient alors très complexe de savoir quel groupe fait quoi et comprendre la portée réelle d’une attaque. »
