Prazis - Fotolia
Cyberespionnage d’un spécialiste de l’aérospatiale et de la défense
Le groupe RUAG a été victime de longue opération de cyberespionnage. La centrale suisse d’enregistrement et d’analyse pour la sureté de l’information a souhaité rendre publics des indicateurs de compromission qui renvoient à Turla/Uroburos.
L’exercice est suffisamment rare pour être souligné. La centrale suisse d’enregistrement et d’analyse pour la sûreté de l’information (dite Melani) vient de publier, à la demande du Conseil fédéral, un rapport contenant les éléments techniques de l’opération de cyberespionnage qui a visé le groupe RUAG, spécialisé dans l’aérospatiale et la défense. Il s’agit ainsi de « permettre aux organisations de détecter la présence d’infections similaires sur leurs réseaux et mettre en lumière le mode opératoire des attaquants ».
La chronologie de l’opération – pour la partie qui est en connue – montre en effet toute l’importance de la détection. Ainsi, les journaux d’activité des serveurs mandataires (proxy) de septembre 2014 faisaient déjà ressortir de premiers indicateurs de compromissions, sans que ceux-ci n’aient été détectés. Mais aucun log ne permet de remonter avant cette période pour connaître le début exact de la compromission. Il faudra attendre décembre dernier pour qu’émergent les premiers soupçons, et la fin janvier pour que l’incident soit déclaré aux autorités helvétiques, suite à l’identification des serveurs de commande et des machines infectées dans les logs des proxys.
L’enquête est immédiatement lancée. Elle fait apparaître le recours à un logiciel malveillant de la famille de Turla, aussi appelé Uroburos – le rootkit Carbon, couplé à Tavdig. Pour mémoire, c’est début 2014 que G Data a présenté ses premières découvertes sur le logiciel espion Uroburos, décrit comme « très complexe et sophistiqué, conçu pour voler des données confidentielles ». Dans un document publié sur son blog, l’Allemand expliquait alors qu’il s’agissait d’un rootkit composé de deux éléments : un pilote et un système de fichiers virtuel chiffré, le premier servant à l’accès au second. Et G Data d’expliquer qu’Uroburos « est capable de prendre le contrôle d’une machine infectée, d’exécuter des commandes arbitraires et de cacher les activités système ». Surtout, son pilote aurait été conçu pour être très furtif et « difficile à identifier ».
Kaspersky a repris le flambeau en août de l’an passé, présentant plusieurs nouveaux éléments sur celui qu’il a choisi d’appeler, de son côté, Turla, à commencer par ses vecteurs d’infection. Ce logiciel espion touche principalement la Russie, le Kazakhstan, la Chine, le Vietnam et les Etats-Unis. Mais quelques infections ont été détectées en France. En septembre dernier, l’éditeur a expliqué comment les opérateurs de Turla peuvent utiliser les flux descendants des accès à Internet par satellite pour exfiltrer des données en toute discrétion.
Mais il ne semble pas que c’ait été le cas chez RUAG : des serveurs de commande et de contrôle ont été clairement identifiés. Les enquêteurs ont également découvert les traces d’exfiltration sur protocole http en juin, juillet, septembre, octobre et décembre 2015. L’étendue des dommages n’est pas évoquée par ce rapport, mais un total d’environ 23 Go de données généralement compressées a été dérobé : « il n’est pas possible de savoir quelles données ont été effectivement volées à partir des logs des proxys, parce qu’une interception n’était en place avant que l’attaque ne soit détectée ».
Les auteurs du rapport multiplient les recommandations, soulignant au passage que « de nombreuses contremesures ne sont pas coûteuses, et peuvent être mises en œuvre avec une quantité de travail raisonnable ». Au passage, on trouvera là le recours à Applocker, fourni par Microsoft, le suivi des journaux d’annuaire, l’activation de l’authentification à double-facteur « en particulier pour les comptes à hauts privilèges », l’ajout de proxy sur tous les liens externes pour enregistrer les traces d’activité, miser sur la segmentation réseau interne, déployer des IDS tels que Snort et Suricata, archiver les logs pendant au moins deux ans, etc.
Pour les auteurs, enfin, « même s’il est difficile de protéger complètement une organisation contre de tels acteurs, nous sommes confiants qu’ils sont détectables, parce que tout le monde fait des erreurs ». Et pour se défendre, il « faut être prêt à voir de telles traces et à partager cette information avec des tiers, afin de suivre de tels attaquants de près ».