Cyberespionnage SolarWinds : VictimTotal, un anti-VirusTotal

« Au moins 4 720 » entreprises privées et organismes gouvernementaux d'importance, en Amérique du Nord et en Europe (dont 163 en France), ont été victimes d'une vaste campagne de cyberespionnage. Elle révèle en outre l'existence d'un système créé pour vérifier que les logiciels malveillants ne soient pas détectés.

Il s'agirait de « la plus importante campagne de cyber-espionnage de la décennie », d'après Prodaft, une entreprise de cybersécurité suisse, qui l'attribue à un groupe de type APT (pour « Advanced Persistent Threat ») de corsaires extrêmement compétentes qu'elle a intitulé SilverFish.

Liée à l'attaque de SolarWinds, à laquelle « plus de 1 000 ingénieurs » auraient contribué, et qui n'avait jusque-là été majoritairement associée qu'à des entités publiques ou privées américaines, elle n'en a pas moins ciblé plus de 1 500 (très) grosses entreprises et acteurs gouvernementaux en Europe.

• Un nouveau cheval de Troie, SUNBURST, attaque l'administration américaine (entre autres)
• Plus de 1 000 ingénieurs auraient contribué à l'attaque de Solarwinds

Après avoir envoyé aux autorités un rapport classifié, Prodaft vient de rendre publique une version déclassifiée (et expurgée des noms des victimes), que nous avons pu consulter avant que l'embargo ne soit levé. Il revient sur les dates d'infection, les secteurs et pays ciblés, les outils utilisés lors des attaques, les commandes exécutées et d'autres informations concernant les tactiques, techniques et procédures (TTP) utilisées par le groupe.

Prodaft a identifié « au moins 4 720 » entreprises privées et organismes gouvernementaux qui auraient été compromis, dont Microsoft, le département américain de la Justice, ainsi qu'une « agence à trois lettres » (« Three Letter Agency », surnom donné aux services de renseignement type CIA, NSA etc.).

Répartis à parts quasi-égales en Amérique du Nord et en Europe, ces sociétés travaillent pour la plupart dans les secteurs des technologies de l'information, de l'éducation, l'énergie, la défense, la santé, l'audit ou le conseil, ou font partie du classement Fortune 500 des 500 premières entreprises américaines.

Si « la majeure partie des victimes ne sont pas conscientes de la présence de SilverFish sur leurs réseaux » (à la date de rédaction du rapport, qui a depuis été envoyé aux autorités des pays ciblés), Prodaft a identifié, parmi les victimes les plus « notables » :

• un important marchand d'armes américain,
• au moins cinq fabricants et fournisseurs de solutions informatiques de premier plan au niveau mondial
• plusieurs groupes de fabrication automobile de premier plan en Europe
• plusieurs entreprises aéronautique et aérospatiale
• des dizaines d'établissements bancaires aux États-Unis et dans l'UE
• des services publics de santé de plusieurs régions
• plus de trois réseaux de police
• plusieurs systèmes aéroportuaires en Europe
• des dizaines d'institutions publiques américaines, dont trois ayant déjà admis avoir été piratées
• trois des plus grands groupes d’audit / conseil au monde
• au moins quatre fournisseurs de sécurité informatique mondialement reconnus
• une organisation mondiale composée de 193 pays
• une société pharmaceutique mondialement reconnue
• l'un des principaux fabricants mondiaux de kits de test COVID-19

21 % des cibles sont gouvernementales

De plus, SilverFish aurait exclusivement attaqué des infrastructures critiques, telles que définies par le National Institute of Standards and Technology (NIST). Et toutes situées en Occident : 2 465 en Amérique du Nord, et 1 645 dans 6 pays européens (dont 163 en France, 262 aux Pays-Bas et 708 en Italie).

Prodaft n'exclut pas pour autant que d'autres cibles, dans d'autres parties du monde, aient été attaquées. Il n'en relève pas moins que 21,3 % des entités ciblées sont des institutions gouvernementales, et que 46 % annoncent publiquement des revenus annuels de plus de 100 millions de dollars, dont 10 % plus de 10 milliards.

A contrario, 8,42 % seulement des victimes sont sous la barre du million de dollars, signe que le groupe s'attaque majoritairement à des victimes à haute valeur ajoutée, ou « high value targets ».

Un commentaire identifié dans le serveur de commande et contrôle (C&C) explique d'ailleurs très clairement que SilverFish doit ignorer les universités, petites compagnies et systèmes présentant peu de haute valeur ajoutée.

Exit l'ex-URSS

Après avoir été alerté par un de ses clients, victime de l'attaque SolarWinds en décembre dernier, Prodaft a commencé à enquêter, et découvert un des C&C utilisés.

Le tableau de bord principal comportait une section nommée « Équipes actives », avec des commentaires en anglais et pour la plupart en argot russe, saisis par quatre groupes d'utilisateurs (Team 301, 302, 303, 304). Le code source d'un fichier .php comportait par ailleurs les pseudos de 14 utilisateurs. Prodaft a retrouvé la trace de plusieurs d'entre eux sur des forums underground de hacking.

Deux des adresses IP du C&C étaient hébergées en Russie et en Ukraine. L'analyse du code source révèle en outre que SilverFish filtrait les pays de la Communauté des États indépendants (CEI, réunissant 9 des 15 anciennes républiques soviétiques), de sorte d'empêcher toute compromission de cibles en Azerbaïdjan, Arménie, Biélorussie, Géorgie, Kazakhstan, Kirghizistan, Moldavie, Ouzbékistan, Russie, Tadjikistan, Turkménistan ainsi qu'en Ukraine.

Contrairement aux attaques traditionnelles qui exploitent des noms de domaine loués via des paiements anonymes, SilverFish utilise pour sa part des domaines piratés pour rediriger le trafic vers leurs C&C. Prodaft a observé des noms de domaine légitimes vieux de 10 ans utilisés dans leur fonctionnement, et estime que SilverFish disposerait de plus d'un millier de sites compromis de la sorte, dont un grand nombre utilisant WordPress.

Pour éviter de perturber le trafic légitime du site web, SilverFish crée de nouveaux sous-domaines, ce qui rend presque impossible pour un propriétaire de site sans surveillance de comprendre que son domaine est exploité dans les attaques. Prodaft a identifié une « première vague » d'attaque allant de fin août à début novembre 2020, ciblant majoritairement les États-Unis. Suite à la découverte de l'attaque SolarWinds en décembre, une « deuxième vague » a ensuite été lancée en janvier 2021, pour infecter les systèmes qui n'avaient pas été patchés.

VictimTotal, un VirusTotal inversé

SilverFish, le groupe à l'origine des attaques, se comporterait de manière très organisée et professionnelle, avec ses horaires de travail, de 8h à 20h (UTC, soit 9-21h heures de Paris), du lundi au vendredi, et plusieurs équipes d'expertise, chacune avec des responsabilités différentes.

Quand une cible est compromise, elle est assignée à un groupe spécifique chargée d'identifier puis d'exfiltrer les données potentiellement intéressantes. Silverfish disposerait même d'un système dédié destiné à vérifier directement sur les systèmes compromis que ses outils et techniques fonctionnent sans être détectés.

Une sorte d'anti-antivirus, à l'image d'un anti-vaccin qui serait destiné à vérifier qu'une charge virale puisse continuer à fonctionner voire se propager, sans être identifiée ni bloquée, à l'insu du système infecté.

Prodaft en parle comme de « l'une des découvertes les plus choquantes » que ses équipes aient pu faire. Il fonctionnerait à la manière de VirusTotal, le célèbre site web d'analyse permettant de faire tester des fichiers suspects auprès de dizaines d'antivirus, ce pourquoi ProDaft l'a surnommée « VictimTotal ».

Les attaquants de SilverFish l'utilisent pour tester périodiquement leurs charges utiles malveillantes sur plus de 6 000 périphériques de leurs victimes afin de s'assurer que leurs antivirus et solutions EDR (Endpoint Detection and Response, des outils de détection d’activités suspectes) ne les identifient pas comme malveillants.

La filière russe

D'après Prodaft, les infrastructures de SilverFish contenaient plusieurs indicateurs de compromission (IOC) précédemment attribués à différents groupes et campagnes tels que le cheval de Troie bancaire Trickbot et le groupe de cyber-braqueurs d'origine russe EvilCorp, son ransomware WastedLocker, ou encore le groupe DarkHydrus, qui s'était attaqué à une agence gouvernementale moyen-orientale en 2018, « et beaucoup d'autres ».

Prodaft estime que SilverFish serait le premier groupe à avoir ciblé les États de l'UE en utilisant les vulnérabilités liées à la faille de SolarWinds. Le choix des cibles et l'analyse technique de ses modus operandi et techniques d'anonymisation ainsi que, et « plus important encore, leurs connaissances[qui] transcendent les barrières régionales, culturelles et linguistiques », montre par ailleurs que ses objectifs relevaient de la reconnaissance et de l'exfiltration secrète de données, et donc du cyberespionnage.

Sur LinkedIn, l'un des chercheurs impliqués lie SilverFish au groupe UNC2452, aussi connu comme DarkHalo, StellarParticle, NOBELIUM et suspecté d'avoir travaillé pour les autorités russes dans le piratage de SolarWinds. Ce qui pourrait aussi expliquer ce pourquoi autant de systèmes italiens auraient été attaqués.

En mai 2020, une rocambolesque mission humanitaire et militaire russe en Italie, alors que le coronavirus décimait le pays, avait en effet permis de découvrir que Moscou aurait glissé quelques espions parmi les médecins. Baptisée « From Russia with love », elle leur avait permis d'aller décontaminer diverses maisons de repos à Bergame, l'épicentre de Covid-19 en Lombardie.

Or, une source avait confié à Marianne que « les Russes sont arrivés en Italie avec leurs propres cartes géographiques des foyers de contaminations qu’ils avaient rédigé eux-mêmes et les lieux ciblés, des Ehpads, se trouvaient comme par hasard à proximité de sites militaires américains importants comme la base de Ghedi située à une cinquantaine de kilomètres de Bergame », où les États-Unis avaient déployé des armes nucléaires et stocké des bombes gravitationnelles B61.

C'est également en Italie qu'un lieutenant-colonel de l'armée française, affecté au centre de commandement des forces alliées de l'OTAN, et arrêté l'été dernier, avait fourni des documents ultra-sensibles à un agent du G.R.U., le service de renseignement militaire russe. Le suspect, âgé d'une cinquantaine d'années, a de lointaines racines familiales en Russie, et parle couramment la langue de ce pays. 

Depuis, la Russie est soupçonnée de se servir de l'Italie comme « point d'entrée en Europe », nous confie un autre expert en cybersécurité.