Ivan Kwiatkowski, Kaspersky : « je préfère être attaqué par un outil que je connais »

Ivan Kwiatkowski – aussi connu sur Twitter sous le pseudonyme @JusticeRage – est chercheur en sécurité au sein du GReAT (Global Research & Analysis Team) de Kaspersky. Là, à l’instar de Félix Aimé, un autre membre de cette équipe qui a déjà commenté l'actualité pour LeMagIT à de nombreuses reprises, il se concentre sur les acteurs les plus sophistiqués, ceux que l’on identifie régulièrement comme APT, Advanced Persistent Threat, ou menace avancée persistante.

LeMagIT : le phénomène ne date pas de l’an dernier, mais semble avoir connu une accélération considérable en 2019 : la cybercriminalité financière emprunte de plus en plus aux APT, n’est-ce pas ?

Ivan Kwiatkowski : Effectivement. Traditionnellement, on avait tendance à représenter la topologie des cyberattaques comme une pyramide, avec tout en bas, le bruit de fond, à savoir les scans de ports, les attaques en force brute, etc. Au-dessus, on plaçait la cybercriminalité, et tout en haut, les APT. Une forme de ruissellement était supposée : les chercheurs documentent les techniques, tactiques et procédures (TTP) des APT, et les acteurs de la cyberdélinquance/cybercriminalité s’en inspirent pour peaufiner leurs attaques et devenir graduellement plus performants.

Mais le secteur du red teaming et du test d’intrusion a développé ses outils comme Empire, Metasploit, ou encore Cobalt Strike, disponibles en open source ou commercialement, mais à des prix très modérés. Ces outils ont atteint des niveaux de sophistication très proches des APT. Compte tenu de l’ampleur de la communauté impliquée, ce n’est d’ailleurs pas surprenant.

Mais les APT récupèrent eux-mêmes ces outils pour leurs opérations. Cela leur économise des coûts de recherche et développement, et leur permet de concentrer leur budget sur ce qui n’est pas disponible publiquement. Et puis en utilisant des outils génériques, ils se fondent dans le bruit ambiant et évitent d’être discriminés par leur outillage. Finalement, c’est un cercle de connaissance qui s’alimente en continu.

LeMagIT : Justement, le sujet des outils de sécurité offensifs (OST) a alimenté de vifs débats courant décembre dans la communauté de la sécurité. Quel est votre point de vue ?

Ivan Kwiatkowski : Je précise tout d’abord qu’il s’agit là de ma position personnelle : je ne peux pas parler au nom de Kaspersky qui n’a pas de position officielle sur le sujet.

De mon point de vue, donc, les acteurs sophistiqués sont capables de développer eux-mêmes ces OST. Le fait de les diffuser publiquement les rend disponibles à un plus grand nombre, mais il ne confère pas des capacités à des personnes qui ne seraient pas capables de les acquérir eux-mêmes.

Et face à un assaillant sophistiqué, je préfère être attaqué par un outil que je connais, qui est documenté et dont le code source est accessible à tous, plutôt que par quelque chose dont j’ignore tout et que personne n’a jamais vu. Au moins, si j’ai fait mes devoirs en tant que défenseur, je suis capable de mettre en place des stratégies, dans mon réseau, pour détecter ces attaques. C’est un scénario plus favorable qu’avec un attaquant que personne n’a jamais vu.

LeMagIT : Cette réflexion me renvoie au framework Att&ck du Mitre. Mais je n’ai pas l’impression qu’il soit beaucoup utilisé pour déterminer les contrôles de sécurité à privilégier en fonction de son modèle de risque…

Ivan Kwiatkowski : Ce framework est un outil pour défenseurs matures, dont la mise à profit nécessite une bonne connaissance de son réseau. En pratique, le préalable que vous évoquez, à savoir modéliser son risque, je ne crois pas que ce soit le niveau moyen du défenseur. Beaucoup ne sont pas forcément conscients de l’état de leur parc informatique, de leur valeur pour les attaquants…

Connaître son modèle de risque pour utiliser Mitre et choisir ses contrôles de sécurité en conséquence est une pratique encore balbutiante dans beaucoup d’entreprises, même les plus grandes.

LeMagIT : Peut-on dire que cela vaut pour Atos, dont les postes de certains collaborateurs ont été pris au piège par les assaillants qui ont cherché à perturber les Jeux Olympiques de Pyeongchang ?

Ivan Kwiatkowski : A leur décharge, l’attaquant qui s’est fait remarquer à cette occasion est l’un des plus sophistiqués au monde. D’une certaine manière, on a les attaquants qu’on mérite. Et celui-là serait probablement passé même avec les niveaux de protection les plus élevés.

LeMagIT : Justement, pour Costin Raiu, cet évènement a marqué un tournant pour l’attribution. D’autres groupes ont-ils atteint le même niveau ?

Ivan Kwiatkowski : Pour mémoire, certaines traces pointaient sur l’acteur connu sous le nom de Lazarus, mais des incohérences ont montré qu’elles avaient été insérées à dessein, pour brouiller les pistes.

Cette attaque reste à ce jour le seul cas de ce type documenté. Mais je pense qu’il serait naïf de croire que les attaquants ont testé cela, puis se sont arrêtés. Mais on ne sait pas… ce que l’on ne sait pas. Il est tout à fait possible qu’ils aient progressé au point de tromper l’industrie. Ou qu’ils attendent un autre événement pour mener une opération où ils essaieront de contrôler précisément l’attribution qui sera faite. C’est également une possibilité.

LeMagIT : Est-il aujourd’hui particulièrement complexe d’aboutir à un niveau de confiance élevé dans l’attribution ?

Ivan Kwiatkowski : Pour aboutir à l’attribution, nous utilisons le code malveillant lui-même, qui peut être le même que pour des opérations antérieures, ou une évolution. On s’appuie sur des superpositions de techniques, tactiques et procédures. Mais on ne peut pas se baser sur un unique élément : n’importe quel assaillant peut voler du code à un autre pour le réutiliser.

Nous avons besoin d’autres facteurs, dont notamment les éléments d’infrastructure : où ils sont achetés, comment ils sont payés, etc. – ils constituent l’un des éléments les plus discriminants. Le vecteur d’infection initiale joue également, de même que la victimologie traditionnelle, sans oublier le contexte géopolitique… C’est tout un faisceau d’indices qui permet de conduire à une attribution. Mais c’est un exercice extrêmement délicat dans lequel nous sommes très prudents.

LeMagIT : Les assaillants font régulièrement des clins d’œil aux chercheurs. Comment le prenez-vous ?

Ivan Kwiatkowski : D’une certaine façon, il est plaisant d’avoir une interaction avec ces personnes que l’on ne connaît en définitive qu’à travers leur code. Franchement, c’est toujours amusant. Et cela peut être pratique : ce genre de signature aide à les suivre. L’an dernier, les équipes Talos de Cisco se sont penchées sur Sea Turtle. Leur attention a été attirée par ce genre de provocation. Sans cela, peut-être l’opération n’aurait-elle pas reçu la même attention.