Les groupes APT (Advanced Persistent Threat) sont une catégorie d’acteurs malveillants particuliers. Ils travaillent pour le compte de gouvernement. Et leurs modes opératoires et leurs cibles sont souvent liés aux intérêts politiques de ces gouvernements. Évidemment, les pays de l’Union européenne ne sont pas épargnés par ces acteurs souligne Mathieu Tartare, chercheur en cybersécurité chez Eset.
Il détaillera sa présentation lors des Assises de la Cybersécurité qui débute demain. Eset s’intéresse tout particulièrement aux activités de groupes malveillants liés à la Chine et à la Russie.
La société slovaque de cybersécurité garde un œil sur une centaine de groupes de ce type à travers le monde. « On voit aussi apparaître des acteurs iraniens ou nord coréens. Mais la Chine et la Russie restent parmi les plus actifs » explique le chercheur.
Chacun ses cibles
Selon leur origine supposée, les groupes ont des approches et des cibles bien différentes. Les groupes chinois, qui restent selon le chercheur les plus actifs aujourd’hui, visent ainsi des cibles étroitement liées au projet des « Nouvelles Routes de la Soie ». Il s’agit d’infrastructures de transports entre la Chine, la Russie, l’Europe et l’Afrique.
Ce contexte géopolitique explique peut-être les nouvelles victimes attribuées au groupe Mustang Panda. Ce groupe affilié à la Chine, jusqu’alors connu pour des opérations en Asie du sud-est, a été repéré s’attaquant à des organisations européennes spécialisée dans le fret, maritime ou ferroviaire.
« Des attaques contre des bateaux cargos au Pays Bas, en Norvège et en Grèce » précise le chercheur.
Arrondir les fins de mois
En parallèle les groupes liés à la Chine visent des organisations gouvernementales européennes, mais aussi des établissements universitaires de recherche. Ils s’aventurent parfois à des cibles plus inhabituelles, comme des casinos en ligne ou des entreprises de jeu vidéo.
Cette singularité s’explique par l’écosystème chinois créé autour de ces activités. « La Chine s’appuie sur de nombreuses entreprises privées, qui vont parfois viser des cibles de manière opportuniste pour arrondir leurs fins de mois ou tenter ensuite de vendre leurs prises auprès du gouvernement » rappelle Mathieu Tartare.
Un comportement illustré notamment dans les fuites de données ayant affecté l’entreprise chinoise I-Soon en début d’année. Des mails internes diffusés permettaient de lire que les chercheurs employés par la société se plaignaient régulièrement de ne pas être assez payés.
La désinformation au programme
Si les acteurs chinois se concentrent sur des cibles économiques, les groupes russes restent eux concentrés sur des cibles politiques. Et ce généralement liés au conflit en Ukraine. Avec l’apparition de nouvelles tactiques de désinformation. « Nous allons notamment présenter l’activité d’une opération de désinformation baptisée Texonto.
Son activité vise à se faire passer pour le gouvernement ukrainien pour envoyer de fausses alertes aux populations locales. Ou de la propagande pour décourager les citoyens ukrainiens » explique Mathieu Tartare.
Un mode opératoire nouveau, mais qui coexiste avec les approches plus traditionnelles des groupes connus comme Gamaredon, Sandworm ou Sednit. Ces derniers continuent de cibler des organisations gouvernementales, diplomatiques ou des entreprises du secteur de l’énergie.
Même outils, mais chacun ses préférences
Les acteurs APT repérés par Eset se différencient aussi sur leurs modes opératoires et leurs outils. Mais une tendance commune est relevée par Eset : le recours grandissant aux outils légitimes comme Cobalt Strike pour brouiller les pistes.
« Plutôt que d’avoir systématiquement recours à des logiciels conçus spécifiquement pour leurs opérations, on voit de plus en plus de groupe utiliser des outils légitime, comme par exemple le VPN open source SoftEther » souligne Mathieu Tartare.
« Ils utilisent ces outils pour mener toutes sortes d’opérations, de la reconnaissance à la compromission, et ce sans forcément lever des alarmes chez leurs cibles. »
Mais pour compromettre leurs cibles, les groupes affiliés à la Chine vont surtout exploiter des vulnérabilités dans des serveurs exposés sur Internet. Par exemple sur des serveurs Exchange.
« Il ne s’agit pas de vulnérabilité 0day. Ce sont des failles connues mais que les entreprises n’ont pas eu le temps de corriger. Et quand on voit le volume de failles découvertes sur certains programmes, c’est difficile de les blâmer » dit le chercheur.
Les groupes proches de la Russie vont également avoir recours à ce type d’exploitation à distance. Mais ils ont plus recours à des tactiques de hameçonnage ciblé via l’envoi de mails malveillants.