mercredi 10 août 2016

Project Sauron : Never mind attribution !

Et voilà un nouveau rapport sur une nouvelle APT, "toujours plus sophistiquée" que la précédente...
Le Project Sauron (nom donné par l'équipe Kaspersky) dans son rapport du 8 août ou Strider pour Symantec dans le rapport du 7 août souligne, s'il en était encore besoin que le concept d'APT a encore de beaux jours devant lui. 
Les rapports publics se faisaient rare et c'est donc avec beaucoup d'intérêt qu'il faut étudier cette sortie.


  • Ce qui ne change pas : l'excellence technique
Le projet Sauron rentre dans la catégorie de l'APT de "grand style", suivant les critères de Kaspersky:
What differentiates a truly advanced threat actor from a wannabe APT? Here are a few features that characterize the ‘top’ cyberespionage groups:
  • The use of zero day exploits
  • Unknown, never identified infection vectors
  • Have compromised multiple government organizations in several countries
  • Have successfully stolen information for many years before being discovered
  • Have the ability to steal information from air gapped networks
  • Support multiple covert exfiltration channels on various protocols
  • Malware modules which can exist only in memory without touching the disk
  • Unusual persistence techniques which sometime use undocumented OS features
“ProjectSauron” easily covers many of these points.
Il faut souligner que si le début de l'opération est évaluée à 2011, nous sommes toujours dans l'incapacité de déterminer le vecteur d'infection (ce qui complique la stratégie de défense...) en outre l'aspect "tailored" (les implants sont quasiment tous uniques, nommés et construits différemment pour chaque cible) rend certain indicateurs de compromission non pertinents. 
Les mécanismes multiples d'exfiltration ainsi que la modularité avancée sont la signature d'un acteur déterminé, focalisé sur la furtivité et suffisamment agile pour durer.
Pour avoir une idée de "la bête", je recommande la lecture du chapitre expliquant la stratégie pour s'affranchir du "air gap" (P.8 du rapport)
Bref, de quoi donner quelques sueurs froides.

  • Pourtant, il y a du nouveau
Il y a en effet du nouveau ou du "pas commun" dans le projet Sauron. Je ne parlerai ici que des techniques d'exfiltration qui si elles ne sont pas forcément nouvelles sont utilisées de façon plus subtile. Sauron exfiltre les données suivant deux procédés distincts du DNS tunneling et de l'Email


Sauron s'intéresse donc métadonnées système ainsi qu'à toutes les informations de configuration réseau qui seront exfiltrées par Email.

L'usage de l'interpreter LUA semble également une nouveauté.

  • La fin des indicateurs de compromission réseau ?
Les attaques se suivent et ne se ressemblent pas, Sauron a développé une politique de sécurité importante (on parlera de SECOPS en milieu militaire). Ainsi, les IOC classiques de compromission ne sont plus pertinents. L'infrastructure d'attaque est très importante et organisée et segmentée par victime pour ensuite ne jamais être réutilisée.

 


Il semble donc que les attaquants soient familiers des concepts de pyramid of pain...
  • Mais la vraie nouveauté c'est...
 Sur les 23 pages du rapport, 3 concernent le problème de l'attribution. Ces pages présentent de façon factuelle des éléments sur la langue utilisée par le groupe  ainsi que des références à des "tics" un peu "old school" qui trahissent le penchant UNIX des attaquants. En clair RIEN.

Ce qui semble encore plus étrange c'est le choix de Kaspersky de revendiquer cette non-attribution

 

On est ici bien loin du fameux rapport Mandiant APT 1 et de l'instrumentalisation de certaines découvertes pour caractériser un adversaire dans le cyberespace (cochez au choix: Russie, Chine, Corée du Nord, Iran). Symantec, sans pousser plus loin l'attribution, détaille les pays ciblés par Sauron, ce qui peut lancer les spéculations. Le fait est, alors qu'il y a quelques années l'attribution semblait être le graal de toute compagnie de sécurité informatique, aujourd'hui cette tendance s'éfface. Plus question de pointer du doigt un pays, un groupe ou un individu, mais bel est bien d'offrir aux clients des solutions de sécurité plus pertinentes. En définitive, ce qui différencie une compagnie d'une autre c'est bien sa connaissance de la menace, dans la durée, et les outils qu'elle met en place pour la réduire, plus que sa capacité à identifier l'auteur d'une campagne de cyberespionnage.






Aucun commentaire:

Enregistrer un commentaire