L’Anssi se penche sur la menace qui vise l’aéronautique
L’agence vient de publier un rapport détaillé sur les attaques visant prestataires de services et bureaux d’étude de grands industriels européens, particulièrement dans l’aéronautique : la campagne Avivore.
Fin septembre, nos confrères de l’AFP indiquaient qu’Airbus avait été la cible, « ces derniers mois », de « plusieurs attaques informatiques lancées en passant par des sous-traitants ». Une demi-surprise : plus tôt cette année, à la suite des révélations d’un incident chez Altran, les noms d’autres partenaires d’Airbus avaient été glissés à la rédaction, sans que nous parvenions, hélas, à confirmer d’éventuels incidents.
L’AFP a notamment avancé le nom d’Expleo (ex-Assystem), évoquant une attaque découverte fin 2018 et visant « le VPN qui connectait l’entreprise à Airbus ». Et c’est justement de VPN qu’il est question dans le rapport tout juste publié par l’Agence nationale de la sécurité des systèmes d’information (Anssi) sur une campagne d’attaques visant prestataires de service et bureaux d’études.
L’Anssi évoque ainsi des attaquants cherchant à « prendre position sur les réseaux de prestataires afin de récupérer les données, voire d’accéder aux réseaux, de leurs clients », ainsi que la présentation d’éléments obtenus « suite au traitement d’incidents suivant ce schéma d’attaque ».
Code malveillant et vol d’identifiants
L’agence décrit une chaîne d’attaque qui commence par l’exploitation « de vulnérabilités sur des services exposés sur Internet et peu sécurisés ». De quoi jeter un nouvel éclairage sur l’alerte lancée par le Cert-FR durant l’été, même s’il y a bien (trop) souvent bien plus que des serveurs exposés sur Internet et potentiellement vulnérables ou à tout le moins mal sécurisés. Mais les assaillants ne manquent pas de recourir aussi à des « courriels piégés » pour leurrer leurs cibles et prendre pied dans leur système d’information.
Après, les assaillants utilisent « des comptes VPN légitimes dont les identifiants ont probablement été dérobés pour revenir sur le réseau ». À cela s’ajoute l’utilisation potentielle d’outils d’accès à distance, de portes dérobées comme des « webshells » – comme nous en avions trouvé lors d’une enquête début 2018. L’Anssi évoque également le maliciel PlugX dont elle fournit des éléments de code en annexe. Plus loin, la chaîne décrite ne surprendra aucun expert : élévation de privilèges, latéralisation – « principalement avec des connexions RDP avec des identifiants récupérés ».
L’apport principal du rapport de l’agence tient aux indicateurs de compromission, faisant ressortir des attaquants mettant à profit des services commerciaux de VPN, ou encore Tor, ainsi que des machines virtuelles VMware pour se connecter à l’infrastructure de la victime.
Et là, il y a de quoi lancer des alertes : « des utilisateurs se connectant à des VPN d’entreprise depuis un nœud de sortie de VPN public sont des anomalies ». C’est là que l’on touche au second apport du rapport de l’Anssi : des conseils à destination des équipes de sécurité sur quoi chercher, et comment, que ce soit sur le réseau ou sur les postes de travail Windows, dans le registre.
Des détails jusqu’ici peu connus
Samuel Hassine, patron du renseignement sur les menaces à l’Anssi, indique que la publication de ce rapport survient « après plusieurs mois de procédures internes, à attendre les autorisations et les bonnes opportunités ». Et l’une d’entre elles n’est peut-être que la publication du rapport de Context Information Security, ce 3 octobre, sur la campagne qu’il appelle Avivore.
Car Florian Roth, créateur du Thor Scanner, aujourd’hui œuvrant chez Nextron Systems, relève que le rapport de l’Anssi renvoie en fait à cette même campagne, « contenant des détails qui étaient précédemment partagés en TLP : Green ». À savoir, ils n’avaient vocation à n’être partagés qu’au sein de la communauté concernée, et pas au-delà, probablement pour éviter de porter préjudice aux efforts d’investigation.
Aujourd’hui, l’Anssi a donc décidé d’aller plus loin, passant certains de ces éléments en TLP : White, comme le confirme d’ailleurs Samuel Hassine. Et cela recouvre probablement tous les indicateurs de compromission présents dans son rapport : Context s’était bien gardé d’en publier un seul. Avec cette publication, l’agence française apporte probablement une contribution à la sécurité d’un écosystème élargi de partenaires des grands industriels concernés, mais elle indique implicitement estimer l’enquête terminée pour l’essentiel. Et puis elle ne se prive assurément pas d’un petit exercice d’autopromotion, au passage.
Un secteur alléchant
Reste que la menace sur les grands industriels, et en particulier l’aéronautique, n’est pas nouvelle, même si un Asco vient récemment d’en rappeler la réalité. Début 2014, on apprenait ainsi, par la voix de Websense, que les acteurs français de l’industrie aéronautique, spatiale et militaire avaient fait l’objet d’une attaque par point d’eau. Un peu plus tard, Reuters affirmait que Snecma comptait parmi les victimes. En 2016, la division 42 de Palo Alto Networks détaillait un cheval de Troie taillé pour macOS et apparemment utilisé pour cibler des acteurs précis de l’industrie aéronautique.
En tout début d’année, c’était Airbus lui-même qui reconnaissait, sans le détailler, un « incident » de sécurité. Début 2016, Stéphane Lenco, alors RSSI d’Airbus, passé chez Thales en fin d’année dernière, expliquait d’ailleurs que le groupe aéronautique européen faisait l’objet de « milliers de tentatives d’attaque » par jour, la plupart ne représentant pas de réelle menace. Parmi celles-ci, une dizaine, quotidiennement, méritaient investigation, dont des attaques soutenues par des États. Et de préciser alors que ces pirates-là « existent, et ils entrent ».
Des menaces importantes
Surtout, la publication de son rapport d’activité 2018 a été récemment l’occasion pour l’Anssi de souligner l’importance du sujet : « en ciblant un ou plusieurs intermédiaires (fournisseur, prestataire, etc.), les attaquants parviennent à contourner les mesures de sécurité de très grandes organisations, pourtant de plus en plus conscientes du risque numérique ». Et justement, « la compromission d’un seul intermédiaire suffit parfois à accéder à plusieurs organisations ».
Les attaques par rebond avaient été évoquées en ouverture du Forum International de la Cybersécurité (FIC), fin janvier, à Lille. Difficile d’imaginer, dans ce contexte, que le message choisi par l’Anssi pour 2019 l’ait été au hasard : « tous connectés, tous impliqués, tous responsables ».
Une attribution délicate
Mais attention encore une fois à la tentation de l’attribution. Nos confrères de l’AFP faisaient état de sources évoquant le groupe APT10, réputé pour ses attaques sur la chaîne logistique de cibles à haut profil, visant notamment les fournisseurs de services managés. Il est soupçonné de liens avec le renseignement chinois, à l’instar d’un autre groupe, APT31, que d’autres experts, de Microsoft cette fois-ci, estiment avoir été à la manœuvre contre Visma. Pour Duo Security, APT10 et APT31 pourraient être étroitement liés. Le premier était soupçonné, en début d’année, d’être derrière l’attaque ayant visé Airbus.
Mais Context Information Security estime « si l’implication [d’APT10 ou du ministère de la Sécurité intérieure de la province de Jiangsu] ne peut pas être écartée, les indices disponibles suggèrent que cette campagne est le travail d’un groupe distinct ».