Actif depuis une bonne quinzaine d’années, le groupe Pawn Storm a utilisé un large éventail d’outils et de techniques au cours de cette période pour atteindre ses objectifs.
En matière de cyber-sécurité, les groupes responsables de menaces persistantes avancées (APT) représentent toujours l’exception, plutôt que la règle. Toutefois, leur comportement ne cesse d’évoluer. Non seulement parce que le nombre de leurs victimes et cibles potentielles augmente, mais également parce que leurs outils et techniques tendent à se diversifier afin d’avoir une plus large portée.
Attardons-nous plus particulièrement sur les attaques de Pawn Storm (alias APT28), l’un des groupes APT parmi les plus actifs dans le monde1 actuellement.
La bonne nouvelle est que les manœuvres de ce groupe observées au cours de l’année 2019 peuvent être atténuées si les organisations veillent à appliquer une politique de sécurité adaptée.
Des tactiques changeantes…
Le nombre d’alias que possède Pawn Storm donne une idée de sa notoriété dans les cercles de recherche sur les menaces. Egalement connu sous les noms de Sednit, Sofacy, Fancy Bear et Strontium, le groupe a ciblé plusieurs organisations de haut niveau au cours des dernières années, notamment l’Agence Mondiale Antidopage (AMA) et le Comité national démocrate Américain (DNC). L’impact négatif consécutif à la divulgation d’e-mails démocrates confidentiels, a été en partie blâmé par Hillary Clinton lors de son échec à la présidentielle de 2016.
Actif depuis une bonne quinzaine d’années, le groupe Pawn Storm a utilisé un large éventail d’outils et de techniques au cours de cette période pour atteindre ses objectifs : des logiciels espions sur iOS et exploits zero-day, aux usurpations d’identité OAuth en passant par les attaques de type « watering hole » et au tabnabbing.
Mais les choses évoluent généralement rapidement dans le monde des APT, et c’est ainsi que le groupe a fait montre d’un changement de tactique au cours de l’année écoulée : recourant au départ à des malwares, il s’est ensuite tourné vers des techniques sophistiquées de phishing et de recherche directe de serveurs vulnérables.
Quid des points d’attaque ?
Effectuée à l’échelle mondiale sur des serveurs de messagerie et de découverte automatique Microsoft Exchange, principalement destinés au port TCP 443 (un port pourtant adapté aux échanges http sécurisés), une analyse poussée a démontré que le groupe suivait une méthodologie éprouvée : trouver des systèmes vulnérables, puis obtenir les informations d’authentification par force brute à l’aide d’utilitaires dédiés.
À partir de là, les hackers étaient à même d’exfiltrer les données de courrier électronique et de les utiliser pour envoyer de nouvelles vagues d’e-mails malveillants. Le groupe a également été observé en train d’analyser les ports TCP 445 et 1433 pour trouver des serveurs vulnérables exécutant Microsoft SQL Server et Directory Services.
Le phishing de cibles utilisant des comptes précédemment compromis constitue le deuxième pilier-clé de l’activité de Pawn Storm l’année passée. Une opération de surveillance démarrée en 2014 a permis d’amasser des milliers de modèles de mails malicieux utilisés par le groupe et d’analyser l’évolution de ses outils, tactiques et procédures.
Les membres de Pawn Storm ont utilisé les comptes de messagerie piratés de cibles prestigieuses pour obtenir les informations d’identification de leurs contacts, à savoir principalement des organisations du secteur de la défense situées au Moyen-Orient. Il n’est pas rare de voir cela dans des attaques ciblées : cette approche ajoute une certaine légitimité aux tentatives de phishing bien que, dans ce cas précis, cela n’ait pas garanti un taux de réussite significatif des mails envoyés.
Le groupe a également utilisé un fournisseur de VPN pour tenter de cacher ses traces dans ces opérations ainsi que dans ses autres tentatives de spam. Parmi les victimes des campagnes de spam menées par Pawn Storm : trois fournisseurs de messagerie gratuits (dont deux basés aux États-Unis et un en Russie) et un fournisseur de messagerie iranien.
Quels enseignements en tirer ?
Que conclure de tout ceci ? En tout premier lieu, que le courrier électronique reste toujours un vecteur de menace majeur. Plus de 90% des 52,3 milliards de menaces bloquées l’an dernier sont en effet arrivées par ce biais. Les messages provenant de tiers de confiance comme le phishing sont particulièrement difficiles à repérer et restent clairement une tactique efficace pour les groupes APT sophistiqués ou ceux se consacrant à la criminalité financière.
D’où l’importance pour les RSSI de mettre davantage l’accent sur leurs investissements technologiques et leurs programmes de sensibilisation des utilisateurs.
Autre constat : Pawn Storm poursuit un éventail grandissant de cibles dans un nombre croissant de secteurs d’activités. On retrouve notamment des cibles traditionnelles du groupe (forces armées, sociétés liées à la défense, gouvernements, cabinets d’avocats, partis politiques, universités, entreprises informatiques), mais également d’autres plus surprenantes et inhabituelles : une entreprise agro-alimentaire, un cabinet de chirurgiens, quelques écoles privées en France et au Royaume-Uni, et même une école maternelle en Allemagne. Nul ne sait pourquoi ces structures ont été ciblées, mais cela démontre à quel point tout type organisation peut être visé.
De l’adoption des meilleures pratiques
Adopter les meilleures pratiques en matière de sécurité reste donc la clé pour optimiser sa résilience aux attaques ciblées. Par exemple, en appliquant des correctifs réguliers sur l’ensemble des infrastructures, y compris des correctifs virtuels si des systèmes en cours d’exécution ne sont pas pris en charge. Ou encore, en instaurant une surveillance régulière via un système de détection et de prévention des intrusions, voire en mettant en place un système de sauvegarde et de chiffrement des données stockées.
Les contrôles d’accès sont également essentiels : il convient d’appliquer le principe du moindre privilège et d’exiger une authentification à deux facteurs pour les comptes de messagerie d’entreprise, l’accès au réseau et les services externalisés.
En dernier lieu, l’amélioration du niveau de sécurité global passe par des programmes visant à sensibiliser les utilisateurs aux techniques de phishing et aux vecteurs d’attaque courants.
Au besoin, l’interdiction d’utiliser des comptes de messagerie et des réseaux sociaux personnels dans le cadre professionnel peut s’avérer nécessaire. N’oublions pas les services de détection et de réponse, particulièrement pertinentes pour repérer et bloquer les attaques au sein des organisations disposant de moins de ressources.
Ainsi, même si cela semble être une évidence, adopter les meilleures pratiques informatiques contribue à diminuer drastiquement la surface d’attaque d’une entreprise. Pawn Storm aura au moins eu le mérite de rappeler aux organisations ces éléments essentiels de sécurité.
