Sopra Steria : une attaque éclair ? Pas si vite…

Selon nos informations, le premier contact avec Trickbot remonte au 15 octobre. Mais c’est le 19 octobre au soir que la situation semble prendre un tournant décisif, soit environ 24 h avant que ne débute le déploiement de Ryuk.

Le 21 octobre au soir, Sopra Steria reconnaissait publiquement avoir été attaquée par un ransomware. En coulisse, les équipes de l’ESN avaient déjà identifié le coupable, et en informaient leurs partenaires : Ryuk. Mais il faudra attendre le 26 octobre pour que cette information soit publiquement partagée par l’intéressée.

Dans la notification adressée par les équipes de Sopra Steria à ses partenaires, on pouvait lire que de « premières attaques malicieuses [étaient] apparues il y a quelques jours ». Avant, donc, le mercredi 21 octobre. En fait, selon nos informations, tout a commencé le 15 octobre, par un contact avec ce que plusieurs moteurs, sur VirusTotal, repèrent comme BazarLoader, l’un des composants de l’arsenal de Trickbot. Justement, Abuse.ch avait alerté le lendemain d’une campagne « massive » de malspam lancée par Trickbot. De nombreux échantillons apparaissent avoir été signés avec un certificat numérique attribué à Rumikon LLC, à cette date.  

Mais que s’est-il donc passé entre le 15 octobre et le 21 octobre, date à laquelle Ryuk est identifié sur le système d’information de Sopra Steria ? Date à laquelle également, les équipes de l’ESN évoquent l’utilisation, par les assaillants, de Cobalt Strike pour le déplacement latéral, et l’utilisation de tâches BITS pour le déploiement de Ryuk. Peut-être pas grand-chose, du moins de visible, en tout cas.

C’est ce que laisse entrevoir un autre échantillon, identifié quant à lui comme BazarBackdoor par Intezer, mais où des moteurs antiviraux partenaires de VirusTotal, de même que ThreatRay, voient des traces de Cobalt Strike. L’une des règles de Yara de Florian Roth aboutit à la même conclusion, sans ambiguïté. Cet échantillon a été compilé le 19 octobre dernier, dans la soirée. Il est signé par un certificat numérique qui a également été utilisé dans le cadre d’une campagne de Trickbot, mais ultérieure, le 20 octobre.

Dans le cadre d’importants efforts collectifs de lutte contre Ryuk, plusieurs spécialistes de la cybersécurité et, en particulier, du renseignement sur les menaces, ont partagé publiquement leurs connaissances sur ce rançongiciel et le mode opératoire de ses opérateurs. Red Canary, en particulier, s’est penché sur les diverses opportunités de détection qui peuvent s’offrir aux organisations ainsi attaquées.

Cobalt Strike apparaît ainsi déposé dans l’environnement cible sous forme de librairie à chargement dynamique (DLL) en milieu de chaîne d’attaque, ou killchain, avant que ne commencent les tentatives de déplacement latéral, avec Cobalt Strike ainsi que PsExec, comme l’ont analysé les équipes de Sopra Steria.

La comparaison entre la killchain décrite par Red Canary et la chronologie de l’attaque subie par l’ESN laisse donc entrevoir une première phase offensive, relativement lente, étalée sur environ 96 heures, suivie d’une seconde, considérablement plus rapide et, dès lors, potentiellement bien plus difficile à contenir si tant est qu’elle soit détectée.

Pour autant, il n’y a rien là d’impossible. Nous avons demandé aux experts de trois prestataires qualifiés PASSI de nous donner leur regard sur les modalités de détection, au niveau des différentes opportunités mises en avant par Red Canary. La lecture de leurs analyses conduit à une question : comment expliquer que les équipes de Sopra Steria aient été prises au dépourvu ? Sollicité par nos soins sur ce point, le service de presse de l’ESN nous a laconiquement répondu : « nous nous concentrons actuellement sur l’exécution de notre plan de remédiation et vous recontacterons éventuellement en temps voulu ».

« C’est au contraire une attaque qui a été déjouée par un acteur suffisamment mature qui a su très bien réagir. »
Guillaume PoupardDirecteur général, Anssi

Guillaume Poupard, patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), se montre considérablement plus bavard que l’ESN elle-même. À nos confrères de l’AFP, il vient ainsi d’assurer que l’attaque ayant visé Sopra Steria n’est pas, pour lui, une attaque réussie : « c’est au contraire une attaque qui a été déjouée par un acteur suffisamment mature, qui a su très bien réagir ».

Et d’assurer que « seules quelques dizaines de machines ont été touchées par l’attaque ». La principale intéressée s’est jusqu’ici refusée à répondre à nos questions relatives à l’étendue du périmètre directement affecté par l’attaque. Et sa communication officielle ne donne pas l’impression d’une situation aussi favorable que ce que décrit Guillaume Poupard. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)