Les groupes de cyberespionnage rendent plus difficile la détection de l’origine de leurs attaques en augmentant leur utilisation de réseaux proxy – connus sous le nom de réseaux de boîtes de relais opérationnelles (operational relay box networks, ORBs) – qui peuvent tromper les défenseurs.
Ces réseaux ORB s’apparentent à des botnets et peuvent être constitués de serveurs privés virtuels (VPS), ainsi que de dispositifs liés à l’internet des objets (IoT) compromis et de routeurs non sécurisés. Cette combinaison rend plus difficile le suivi des attaques par les défenseurs, car ces groupes peuvent dissimuler le trafic entre leur infrastructure de commande et de contrôle et leurs cibles finales.
Les réseaux ORB sont l’une des principales innovations du cyberespionnage chinois qui posent un défi aux défenseurs, précise Michael Raggi, analyste principal de Mandiant chez Google Cloud.
« Ils sont comme un labyrinthe qui se reconfigure continuellement, l’entrée et la sortie disparaissant du labyrinthe tous les 60 à 90 jours », explique-t-il. « Pour cibler quelqu’un, ces acteurs peuvent s’appuyer sur un routeur domestique situé juste en bas de la rue. Il n’est pas rare que le routeur domestique d’une personne totalement inconsciente soit impliqué dans un acte d’espionnage ».
Ces réseaux sont souvent construits en louant des serveurs virtuels et en utilisant des logiciels malveillants conçus pour cibler les routeurs afin d’augmenter le nombre d’appareils capables de relayer le trafic. Comme la composition de ces réseaux change rapidement, l’utilisation d’un réseau ORB rend plus difficiles la détection des attaques et leur attribution à un groupe particulier.
Les indicateurs de compromission classiques, c’est-à-dire les détails techniques et les indices généralement partagés au sujet des attaques, sont donc moins utiles, car ces groupes parcourent régulièrement l’infrastructure du réseau.
Selon Mandiant, l’ampleur de ces réseaux permet aux attaquants de se greffer sur des appareils qui se trouvent à proximité géographique des entreprises ciblées. Cela autorise leur trafic malveillant à se perdre dans la masse lorsqu’il est examiné par les analystes.
« Par exemple, le trafic provenant d’un fournisseur d’accès résidentiel situé dans la même zone géographique que la cible, qui est donc régulièrement utilisé par les employés, serait moins susceptible d’être pris en compte pour un examen manuel », indique le rapport de Mandiant.
En conséquence, ce dernier recommande que les équipes de sécurité des entreprises changent leur façon de penser. Cela signifie qu’au lieu de considérer les réseaux d’ORB comme une simple partie de l’infrastructure utilisée par les attaquants, elles devraient suivre les ORB « comme des entités évolutives semblables à des groupes APT [menaces persistantes avancées] ».
Les réseaux ORB ne sont pas une invention récente et ont été régulièrement utilisés dans le cadre de campagnes d’espionnage pour masquer l’identité de l’attaquant et sa localisation. Toutefois, Mandiant indique que l’utilisation de ces réseaux par des acteurs de l’espionnage soutenus par la Chine est devenue plus courante au cours des dernières années.
Ces ORB sont des réseaux d’infrastructure gérés par des entrepreneurs ou d’autres personnes en Chine. Ils ne sont pas contrôlés par un seul groupe d’espionnage ou de piratage APT, mais sont partagés entre eux, ce qui, selon Mandiant, signifie que de multiples acteurs APT utiliseront les réseaux ORB pour mener leurs propres activités d’espionnage et de reconnaissance.
« En conséquence, l’extinction des indicateurs s’accélère et la durée de vie des indicateurs de réseau diminue. »
Rapport Mandiant
Cette infrastructure se déplace souvent – la durée de vie d’une adresse IPv4 associée à un nœud ORB peut être aussi courte que 31 jours. Mandiant estime que l’un des facteurs de différenciation concurrentielle parmi les entrepreneurs du réseau ORB en Chine semble être leur capacité à recycler chaque mois des pourcentages importants de leur infrastructure compromise ou louée.
Cela signifie que le simple fait de bloquer l’infrastructure liée à un réseau ORB à un moment donné ne sera plus aussi efficace qu’auparavant. « En conséquence, l’extinction des indicateurs s’accélère et la durée de vie des indicateurs de réseau diminue », a déclaré Mandiant.
« L’infrastructure ou le routeur compromis qui communique avec l’environnement d’une victime peut maintenant être identifié à un réseau ORB particulier, alors que l’acteur qui utilise ce réseau ORB pour mener l’attaque peut ne pas être clair et nécessiter une enquête sur les outils et tactiques complexes observés dans le cadre d’une intrusion », indique le rapport.
John Hultquist, analyste en chef de Mandiant, Google Cloud, ajoute que « le cyberespionnage chinois était autrefois bruyant et facilement traçable. Il s’agit d’un nouveau type d’adversaire ».
Les nœuds d’un réseau ORB sont généralement répartis dans le monde entier. Mandiant donne l’exemple d’un réseau qu’il suit sous le nom d’ORB3 ou Spacehop, qu’il décrit comme un réseau très actif utilisé par de nombreux groupes soutenus par la Chine. Il utilise un serveur relais hébergé à Hong Kong ou en Chine par des fournisseurs de services cloud, tandis que les nœuds relais sont souvent des images clonées basées sur Linux, qui sont utilisées pour acheminer par proxy le trafic réseau malveillant à travers le réseau, jusqu’à un nœud de sortie communiquant avec les environnements victimes ciblés.
Mandiant indique qu’il est remarquable que ce réseau ait un « volume important » de nœuds en Europe, au Moyen-Orient et aux États-Unis, qui sont tous des zones ciblées par APT15 et ATP5 soutenus par la Chine.
En comparaison, un autre réseau suivi par Mandiant (connu sous le nom d’ORB2 ou Florahox) comporte également des routeurs de réseau et des appareils IOT compromis. Le réseau semble contenir plusieurs sous-réseaux composés d’appareils compromis recrutés par l’implant de routeur connu sous le nom de Flowerwater.
Selon Mandiant, tout cela pose un problème aux défenseurs, car au lieu de se contenter de bloquer l’infrastructure associée aux attaquants, ils doivent désormais se demander quelle infrastructure fait partie du réseau ORB à l’heure actuelle, depuis combien de temps, et qui utilise le réseau ORB.
« Il faut que les entreprises appliquent à la traque des réseaux ORB la même approche tactique que celle qui a été adoptée pour les APT au cours des 15 dernières années ».
Rapport Mandiant
Mandiant ajoute que la meilleure façon de relever le défi posé par les réseaux ORB est de cesser de suivre l’infrastructure de commande et de contrôle de l’espionnage comme un indicateur inerte de compromission et de commencer à la suivre comme une entité en soi.
Et de préciser que « au contraire, l’infrastructure est un artefact vivant d’un réseau ORB qui est une entité distincte et évolutive où les caractéristiques de l’infrastructure IP elle-même, y compris les ports, les services et les données d’enregistrement/hébergement, peuvent être suivies en tant que comportement évolutif par l’administrateur adverse responsable de ce réseau ORB ».
Mandiant avertit que l’essor du secteur ORB en Chine est le signe d’investissements à long terme visant à doter les opérations cybernétiques soutenues par la Chine de tactiques et d’outils plus sophistiqués.
Pour savoir si les défenseurs relèveront ce défi, il faut, selon Mandiant, « que les entreprises appliquent à la traque des réseaux ORB la même approche tactique que celle qui a été adoptée pour les APT au cours des 15 dernières années ».
Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)
