Le nom des choses : comment la sécurité informatique nomme les groupes malveillants


Pour lutter contre les attaquants, encore faut-il savoir les nommer. Dans le monde de la sécurité informatique, les noms pullulent. Qu’il s’agisse de noms de malwares, des groupes ou à d’opérations, le secteur a recours depuis une vingtaine d’années à des noms de code pour désigner les groupes d’attaquants.


Une tradition bien ancrée

Très tôt dans leur histoire, les groupes APT (Advanced Persistent Threat) ont été baptisés par les chercheurs afin de les identifier plus facilement, comme l’explique Cédric Pernet, chercheur chez Trend Micro et auteur d’un ouvrage sur les groupes APT : “Les premiers cas médiatisés d’attaques de type APT utilisaient soit des noms de groupes d’attaquants soit des noms d’opérations. Ces noms étaient souvent basés sur des éléments techniques pertinents « qui sonnaient bien ».Par exemple, l’Opération Aurora en 2010 a été nommée ainsi parce que certains malwares utilisés dans cette campagne d’attaques APT fournissaient un élément indiquant que l’un des répertoires utilisés par les attaquants était nommé « Aurora ».” Le nom est donné par George Kutz, de la société de cybersécurité McAfee, deux jours après que Google, la principale victime de la campagne, ait communiqué sur le sujet.

Donner un nom à ces groupes permet de les distinguer des attaques automatisées qui frappent au hasard : les groupes APT visent généralement des objectifs précis et disposent de ressources plus importantes pour les atteindre. Pour commencer à comprendre un ennemi qui cherche à se faire le plus discret possible, la première étape est en effet de lui donner un nom.

Le besoin de nommer les campagnes d’attaques, les groupes et les outils qu’ils utilisent remonte bien avant les années 2010 : on peut ainsi citer la campagne de cyberespionnage Moonlight Maze qui a visé le gouvernement américain en 1999. Mais la tendance a connu un nouvel élan au tournant des années 2010.
La médiatisation des attaques a conduit les entreprises de cybersécurité à mettre en avant ces noms, voire à mettre en place des conventions de nommage précises permettant de classifier les attaquants. Comme l’explique William Turner, chercheur en Threat Intelligence au sein de l’Equinix Threat Analysis Center et membre de la communauté Curated Intelligence, “Le développement des conventions de nommage chez les sociétés de cybersécurité a commencé avec la publication du rapport APT1 de Mandiant en 2013. La tendance est vraiment partie de là.”

Chacun sa convention

Pour parler d’un groupe ou d’une campagne d’attaque, chaque entreprise utilise sa propre dénomination, réemploie parfois celle d’une entreprise tierce ou choisit d’utiliser une convention de nommage pour l’ensemble des groupes qu’elle analyse. Les divisions sécurité de Microsoft utilisent ainsi le nom d’éléments (Nobellium, Zirconium), Crowdstrike a recours à des noms d’animaux associés à un adjectif (Fancy Bear, Wicked Panda) Trend Micro utilise de son côté un nom de créature mythologique associé à un élément (Earth Berberoka).

Chez Mandiant, la convention de nommage est plus austère, mais répond à des règles précises comme l’explique David Grout, directeur technique et ingénieur avant vente pour l’Europe chez Mandiant : “APT suivi d’un chiffre est utilisé pour les groupes d’espionnage soutenus par un gouvernement. FIN suivi d’un chiffre est utilisé pour les groupes cybercriminels à motivation financière. » Mandiant répertorie actuellement 41 groupes estampillés “APT” et 14 groupes FIN.

La société utilise également une autre dénomination, bien plus peuplée que les autres : celle des UNC pour “Uncategorized”. “On ouvre un nouveau UNC à chaque fois que l’on estime être face à un spectre d’activités que l’on peut attribuer à un même acteur. Sur la seule année 2021, Mandiant a dénombré pas moins de 2800 UNC” explique David Grout. Au fil du temps et des investigations, ces groupes sont parfois fusionnés avec des groupes APT ou FIN déjà identifiés par Mandiant, ou restent sous l’étiquette UNC si les chercheurs de Mandiant estiment que rien ne les lie à un groupe connu. La décision d’attribuer certaines activités identifiées à un groupe déjà connu ou de créer une nouvelle entité est une décision prise de manière collégiale au sein de l’entreprise.

Le recours à ces outils est-il une simple lubie de chercheurs ultraspécialisés? Pour le directeur technique, c’est une vision un peu réductrice des choses : “Ce n’est pas qu’une niche de chercheurs ! Nos clients ont besoin de comprendre et de nommer les choses. Mais ils ont souvent un peu de mal à s’y retrouver entre les différents noms.” D’où l’obligation pour Mandiant d’ajouter sur certaines de ses plateformes les autres noms employés par les gros acteurs de l’industrie afin de permettre à ses clients de s’y retrouver.


Par tous les noms

Le foisonnement de noms donne en effet parfois des maux de tête. En effet, quand Mandiant parle d’APT28, Crowdstrike parle de Fancy Bear, tandis que Kaspersky baptise le groupe Sofacy. Autant de noms pour un même groupe.

Sur internet, des chercheurs et journalistes s’efforcent de tenir des feuilles Excel et des annuaires retraçant l’ensemble des noms répertoriés pour un même groupe. L’exercice est parfois fastidieux, mais nécessaire pour permettre de s’y retrouver dans la jungle des publications et des dénominations et de plus en plus de sociétés de cybersécurité et CERT tentent de donner sur leurs plateformes les équivalences d’un nom selon plusieurs entreprises de cybersécurité.

Si l’industrie de la cybersécurité a su se doter avec CVE d’un système unifié pour désigner les failles de sécurité, le même raisonnement ne s’applique pas au renseignement sur les menaces et au nommage des groupes d’attaquants : “Cela ne fonctionnerait tout simplement pas. Chaque entreprise dispose de ses propres jeux de données et standards d’analyse de ces données. Le travail nécessaire pour analyser les données d’une intrusion, les regrouper à partir de plusieurs attaques et avoir suffisamment de confiance pour dire que ces incidents ont été perpétrés par le ou les mêmes acteurs malveillants variera considérablement d’une organisation à l’autre” explique William Turner.
L’image fréquemment invoquée pour illustrer ce phénomène est celle de la fable des six aveugles et de l’éléphant : tout le monde inspecte les mêmes groupes, mais chacun en a une vision partielle et en tire donc des conclusions différentes. “Même si deux organisations disposent de données sur des intrusions lancées par le même acteur, leur compréhension et leur analyse des capacités de l’acteur seront différentes”, résume le chercheur.

Outre ces raisons techniques, le chercheur en cybersécurité Florian Roth voit également d’autres facteurs justifiant cette multiplication de noms, résumés dans un post de blog consacré au sujet : “En utilisant le nom attribué par une autre société de cybersécurité, on pourrait admettre implicitement que leur analyse est plus complète et pourrait être considérée comme la base de sa propre recherche.” Un risque qui pourrait mener à des erreurs d’attributions et à des confusions comme l’explique David Grout: “La réutilisation de notre nomenclature ne nous pose en principe pas de problème, mais nous vérifions tout de même que ceux qui réutilisent nos termes ont bien défini la chose comme nous. Dans certains cas, il nous est arrivé de contester.”


De quoi Winnti est-il le nom?

Le sujet est donc délicat et le secteur ne manque pas d’exemples de noms désignant en réalité plusieurs groupes ou à l’inverse de noms attribués à une simple campagne d’un groupe déjà connu. Exemple canonique : Winnti. Le nom de ce “groupe” est apparu sous la plume des chercheurs de Kaspersky en 2013.. Le nom de Winnti avait précédemment été attribué à plusieurs logiciels malveillants identifiés par Symantec et a ensuite été réutilisé pour baptiser un nouveau groupe malveillant utilisant ces outils, probablement lié à la Chine.

Et de nombreuses autres sociétés de cybersécurité ont repris par la suite ce nom, en s’appuyant sur leurs propres analyses pour attribuer diverses campagnes d’attaques au “groupe Winnti”. Derrière ce nom, on peut donc retrouver toute une série de campagnes d’attaques et de groupes aux profils variés, ayant comme point commun le recours à des outils partagés. Comme l’expliquait le chercheur Daniel Gordon dans un article retraçant l’histoire du nom Winnti et les difficultés que celui-ci pose à la communauté de la sécurité informatique : “Le nom « Winnti » a été dilué au point de n’avoir plus aucune utilité. » Ou comme le résumait un autre chercheur en marge d’une conférence de sécurité : “En gros quand on nous parle de Winnti, ce que ça veut dire c’est qu’on sait vaguement que c’est chinois, mais pas grand-chose de plus.”

D’autres noms bien connus souffrent d’un même mal : par exemple le groupe Lazarus, un nom apparu en 2014 pour identifier les attaquants à l’origine du piratage de la société américaine Sony Pictures, et qui est aujourd’hui fréquemment utilisé pour les attaques qu’on soupçonne commanditées par le gouvernement nord-coréen, sans qu’un lien clair avec le groupe de 2014 ne soit établi.

Complexité intrinsèque et imperatifs business



Les conventions sont nombreuses, et sont parfois un enjeu marketing : en témoigne le site Adversary Universe de Crowdstrike, qui présente plusieurs groupes identifiés par la société, chacun ayant droit à une représentation graphique façon méchant de comic books américains. Les chercheurs gardent cependant la main sur le nommage et l’attribution des groupes la plupart du temps, quand bien même cette discipline sert in fine les intérêts marketing de l’employeur. Une pression indirecte qui n’échappe pas aux chercheurs : “Il peut y avoir une certaine pression. En fin de compte, ces organisations sont des fournisseurs qui doivent vendre leur produit pour survivre. Être capable de lier la recherche à un groupe connu attirera inévitablement plus d’attention sur votre article/blog/entreprise/produit.”

La difficulté de nommer les groupes tient également au fait que les groupes cybercriminels ne sont pas des structures monolithiques : les cybercriminels n’hésitent pas à partager des outils, des membres et des infrastructures venant compliquer la tâche des chercheurs qui souhaitent les étiqueter. Les chercheurs de Kaspersky avaient déjà mis en avant cette complexité de l’attribution au cours d’une conférence donnée fin 2021. Parfois, seules des campagnes spécifiques de groupes d’attaquants sont identifiées dans un rapport : “Par exemple, Microsoft parle de la campagne Nobelium, mais cela correspond pour nous à la campagne menée par le groupe APT29 via l’attaque sur Solarwinds, pas à un groupe distinct” rappelle David Grout. Autre exemple mis en avant par Curated Intelligence : le complexe enchevêtrement d’appellations liées au groupe d’espionnage “Charming Kitten” (selon la nomenclature de Crowdstrike, vous l’aurez reconnu). Un nom peut en cacher de nombreux autres, selon celui qui le regarde.

 

Marketing de la malveillance

Dernière difficulté en date : l’avènement du marketing cybercriminel. Si les groupes APT restent généralement assez discrets, les groupes cybercriminels se sont approprié la logique de marque et de noms et n’hésitent plus à promouvoir leur propre appellation, qui n’est plus cette fois décidée par les chercheurs, mais par les attaquants eux-mêmes. Le phénomène n’est pas né avec la vague d’attaques de ransomwares : les groupes cybercriminels ne se sont jamais privé de se trouver des noms. Mais cette tendance a pris son envol au début des années 2020 avec l’apparition de groupes ayant recours aux sites vitrine et au modèle du ransomware as a service, à l’instar des groupes Maze ou Ryuk. Pour ces acteurs, se faire connaître relève d’un double enjeu : être en capacité de négocier plus facilement les rançons avec leurs victimes, et recruter de nouveaux affiliés pour s’attaquer aux victimes et utiliser leur ransomware.

Mais le recours à ces noms est lui aussi source de difficultés. Que désignent exactement les Maze, Conti, Revil et autres noms qui font aujourd’hui les gros titres? Certains chercheurs n’ont aucune peine à les utiliser pour désigner les communautés cybercriminelles montées sur le modèle du ransomware as a service par différents groupes malveillants. Pour d’autres, comme Mandiant, ces noms peuvent être réutilisés pour les malwares, mais certainement pas pour les groupes qui les utilisent : “Pour nous, Conti n’est pas un groupe. C’est un malware de chiffrement qu’on peut associer à un ou plusieurs groupes” résume ainsi David Grout.

Pour William Turner, la question mérite au moins d’être posée : “Il est assez simple de dire qu’une entreprise qui apparaît sur le site LockBit, par exemple, a été victime du « groupe LockBit ». Mais si c’est plus simple à comprendre, ce n’est pas tout à fait correct. Parce que les attaques de ransomware sont aujourd’hui effectuées par des affiliés, et non par les développeurs du ransomware ou les propriétaires du site où les données sont diffusées.” Une nuance qui échappe souvent à l’œil du public, mais qui a son importance dès lors qu’il s’agit de connaître l’attaquant pour mieux s’en protéger. En 2021, l’Anssi avait ainsi illustré cette particularité en publiant un rapport sur un groupe baptisé Lockean ayant eu recours à plusieurs services de ransomware as a service : Revil Sodinokibi, Egregor, Prolock, ou encore Maze. Pour caractériser l’attaquant, il a bien fallu s’émanciper du marketing des ransomware et utiliser un nouveau nom pour cerner cet acteur précis au sein de l’écosystème.

Le nommage des groupes d’attaquants n’est donc pas une science exacte, mais le secteur de la cybersécurité aurait bien du mal à s’en passer. Il faut donc s’attendre à voir les tableurs répertoriant les différentes appellations de chaque groupe continuer à grossir dans les années à venir.

Cliquez ici pour lire l’article depuis sa source.

Laisser un commentaire