top of page

FireEye : zoom sur 5 groupes malveillants repérés en France

FireEye : zoom sur 5 groupes malveillants repérés en France

Avec le rachat de la société Mandiant en 2013, FireEye est devenu un acteur majeur de la réponse à incident et un spécialiste des groupes d’attaquant de haut vol,

fréquemment désignés sous le nom d’APT, pour Advanced Persistent Threat. Aux assises de la sécurité, FireEye est venu présenter le travail de ses équipes au cours d’un atelier présentant 5 groupes d’acteurs sophistiqués ayant été repérés en France dans le courant de l’année 2018. Nous avons pu discuter avec David Grout, CTO EMEA de FireEye, qui nous a détaillé les cinq groupes actifs en France ayant retenu l’attention de la société.

Chaque société de cybersécurité ayant pris la liberté de nommer les groupes selon ses propres schémas, nous avons choisi de suivre les appellations de FireEye, mais un tableau regroupant les différentes appellations a été publié par le journaliste Lorenzo Francesci-Bicchierai à cette adresse. Cette ressource précieuse permet de limiter les maux de tête pour ceux qui tenteraient de s’y retrouver dans la jungle des appellations de groupes APT.

APT 10

FireEye travaille sur ce groupe depuis 2014 et celui-ci est bien connu des services. En décembre 2018, la justice américaine a lancé une mise en accusation visant deux citoyens chinois ayant travaillé pour le groupe APT10. « Nous les avons vus actifs en France sur certaines cibles que je ne peux pas dévoiler. Leur spécialité, c’est de s’attaquer aux tiers de confiance afin de basculer ensuite sur leurs cibles et leur activité se concentre principalement dans le cyberespionnage. » Ce style d’attaque, parfois décrit comme « attaque par rebond » ou « supply chain attack », est très populaire auprès des groupes d’attaquants sophistiqués : l’Anssi décrivait récemment des méthodes similaires dans un rapport publié sur son site web. Prudente, l’Anssi n’attribue pas les attaques à un groupe particulier, mais le malware utilisé dans les attaques, PlugX, a déjà été utilisé par APT 10 dans le passé.

FIN6

Si l’acronyme APT est généralement utilisé par FireEye pour décrire les groupes d’attaquants opérant dans le domaine de l’espionnage, l’acronyme FIN est ici utilisé pour évoquer des groupes ayant des motivations purement financières. Le but n’est pas ici de voler des données, mais bien de récupérer de l’argent. « C’est un groupe qui utilise es méthodologies proches des groupes soutenus par des états, mais qui finit généralement ses opérations par un ransomware doublé d’une demande de rançon. Ils se propagent sur le réseau de manière discrète et une fois qu’ils ont pris position, ils commencent à bloquer les machines, généralement pendant un week-end. » Aux dernières nouvelles, FIN6 avait recours aux souches de ransomware Ryuk et LockerGoga, deux variantes populaires et particulièrement efficaces de ransomware. FireEye explique être intervenu sur un ou deux cas en France dans lequel ce groupe était impliqué.

APT41

Un autre groupe chinois sur lequel FireEye a publié un rapport récent. Le groupe est également spécialisé dans l’espionnage industriel : « Les cibles du groupe sont alignées avec les priorités du programme Made In China 2025 : ce programme publié par la Chine il y a quelques années liste plusieurs domaines technologiques et l’objectif affiché par la Chine est d’être en mesure de produire 80 % de ses besoins internes directement en Chine. » Les cibles d’APT41 sont alignées sur les différents secteurs listés dans le rapport. FireEye a publié plusieurs indicateurs de compromission concernant ce groupe et selon David Grout, plusieurs opérateurs et acteurs français auraient retrouvé les traces de son activité en scannant leurs propres systèmes. « La particularité de ce groupe, c’est peut-être leur double casquette : en journée, ils mènent des opérations de cyberespionnage classique, mais la nuit, on a constaté qu’ils opéraient dans une logique de cybercriminalité financière, notamment des escroqueries autour des monnaies virtuelles et des jeux en ligne. » Comme quoi, même les cybercriminels doivent savoir se diversifier.

UNC12/42

L’acronyme UNC est utilisé pour les groupes dont les motivations ne sont pas encore claires. « C’est un groupe qu’on a vu plusieurs fois en Europe et en France. On a des indices qui nous laissent penser qu’il est basé en Europe ou aux États unis. » La spécialité de ce groupe : la compromission d’Active Directory chez les cibles, peut être à des fins de revente pour d’autres groupes par la suite. « Ils ont une particularité : ils exfiltrent la plupart du temps les données volées via des archives .rar chiffrées, mais ils utilisent toujours le même mot de passe pour l’archive. Depuis qu’on est arrivé à le décrypter, c’est d’ailleurs comme ça qu’on les reconnaît quand on intervient sur de nouvelles victimes : on teste le mot de passe et si ça fonctionne, on sait que c’est eux » explique David Grout.

APT39

Cette fois-ci, les experts de FireEye lient ce groupe à l’Iran. « Leur spécialité est la récupération de données personnelles à des fins de profiling, de potentielles cibles ou victimes. » APT39 est principalement actif dans le domaine des télécommunications ou des transports : le groupe se concentre sur la récupération de métadonnées ayant pour but de comprendre qui communique avec qui. « On suppose qu’ils récupèrent ces données afin de comprendre les liens entre différentes structures industrielles, ou bien anticiper certains rapprochements de type joint venture dans le domaine de la pétrochimie ou de l’aéronautique dans la zone du Moyen-Orient. »

0 vue0 commentaire

Comments


bottom of page