Le
bon combat

Plusieurs fronts sont menés en ce moment sur les réseaux et les chercheurs en sécurité sont sur la première ligne dans le monde entier. Voici l’histoire vue de l’intérieur de la façon dont notre équipe de recherche d’élite en sécurité a neutralisé l’une des plus grandes menaces des dernières années.

Par Eric Adams
Photographie par Kenny Braun

Ce samedi après-midi avait commencé comme tous les samedis de 2015 pour l’expert en cybersécurité Matt Olney (photo ci-dessus), mais s’est terminé tout autrement. Il était à sa maison au Maryland, assis dans le canapé avec un ordinateur sur ces genoux, faisant ce qui l’aime le plus, traquer les cybercriminels dans une guerre sans fin entre le bien et le mal.

Olney est l’un des plus de 250 membres de Cisco Talos, notre équipe de chercheurs d’élite qui a la tâche de traquer sans relâche les contrevenants pour protéger les réseaux dans le monde contre les menaces posées par les cyberattaques malveillantes.

En ce samedi, Olney a mis en place ce que l’on appelle dans le milieu informatique un « pot de miel », un serveur anodin conçu pour attirer les attaquants grâce à des mots de passe faibles et des correctifs de sécurité désuets. Pour augmenter la vraisemblance du camouflage, Olney s’est arrangé pour leurrer les attaquants sur la position du serveur comme s’il était à Singapour.

Vous trouvez peut-être surprenant que Olney aime travailler la fin de semaine, comme tous ses confrères de travail d’ailleurs. « Ce n’est pas étranger à la responsabilité inhérente de mon type d’emploi », affirme Olney. « Il est connu que les cybercriminels ne prennent pas de pauses, alors pourquoi devrions-nous en prendre? »

Talos analyse près de 1,5 million d’occurrences de logiciels malveillants par jour et permet de bloquer 7 200 milliards d’attaques sur une base annuelle. Pour ce faire, Talos garde en fonction le plus important réseau de détection de menaces dans le monde, utilisant des technologies de détection et de prévention de pointe pour détecter, évaluer et réagir aux dernières tendances en matière d’activité de piratage, de tentative d’intrusion, de logiciels malveillants et de vulnérabilités informatiques.

Talos est composé de plusieurs équipes qui travaillent en synergie sur différents fronts de la guerre contre les menaces. L’équipe mobile passe continuellement au peigne fin le web pour détecter les menaces en émergence. Les autres équipes font de l’ingénierie inverse sur les nouveaux logiciels malveillants et les vulnérabilités afin de créer des protections pour nos clients. Pendant que d’autres équipes communiquent les informations en produisant des rapports publics de sécurité informatique et en communiquant directement avec les clients, les fournisseurs de technologies et les fournisseurs de services – même les concurrents.

Quelques fois, comme Olney, ils s’engagent dans une bonne vieille partie de « toucher-couler » pour le plaisir de s’y adonner. Il a activé un pot de miel, puis s’est levé pour prendre une petite gorgée en attendant. Avant même d’avoir eu le temps de s’asseoir, il a reçu une touche.

« Avant que j’aie complètement installé le logiciel du « pot de miel », j’ai vu une première tentative de connexion qui a échouée », affirme Olney.

En d’autres termes, les cyberattaquants essayaient déjà de traficoter les défenses du pot de miel, en tentant une infiltration et une infection rapide. L’arme de choix des attaquants était une attaque en force, qui équivaut à une grande quantité d’essais rapides d’une succession de mots de passe connus, dans l’espoir d’obtenir l’accès. « C’était incroyablement rapide », affirme Olney.

Pour ce poisson qui mordait à l’hameçon, il a rapidement mis en place plus de pots de miel sur une douzaine de réseaux séparés sur différents continents au cas où il pourrait leurrer plus d’attaques et découvrir les acteurs dans cette mauvaise mise en scène. Ceux-ci seraient impossibles à associer les uns avec les autres. « Nous mettons en place systématiquement des pots de miel qui simulent des systèmes de contrôle industriel, des serveurs web, des serveurs Elasticsearch, des serveurs de téléphonie IP, même des pompes à essence », explique Olney.

« Il n’y avait aucun autre trafic légitime qui circulait sur ces serveurs pot de miel, alors le seul trafic provenait des attaquants. Honnêtement, c’était l’attaque la plus virulente que nous n’avions jamais constatée. »

Craig Williams
Responsable des renseignements sur les menaces distantes

Détectives numériques

Maintenant, le vrai travail de détective commence. Puisque les pots de miel d’Olney ont enregistré furtivement chaque tentative de connexion infructueuse, les analystes de Talos pourraient faire concorder les mots de passe dans des « dictionnaires » connus, des bases de données de plus de 450 000 mots de passe souvent échangés en ligne parmi la communauté de pirates informatiques.

L’équipe de renseignement sur les menaces s’occupe d’analyser les variations de trafic. L’équipe de recherche pour la détection des menaces a fait de l’ingénierie inverse pour déchiffrer le code du cheval de Troie DDoS. Une équipe d’analyste de données chez Talos a trouvé plus d’indices afin d’identifier les attaquants.

« Nos scientifiques des données sont des experts pour détecter les nuances qui se cachent dans les données. Ils ont la rigueur mathématique pour comprendre la théorie des ensembles et les algorithmes de groupement afin de déterminer avec assurance les qui, les quoi et les où d’une attaque », affirme le directeur général Matt Watchinski, chercheur chevronné en sécurité qui est la tête de Talos à Columbia au Maryland.

En travaillant ensemble, les équipes Talos ont mis le doigt sur la source des attaques – seulement deux réseaux à Hong Kong. Après avoir rapidement essayé quelques noms plutôt colorés, les membres de Talos ont surnommé les attaquants SSHPsychos.

L’équipe a rapidement appris que SSHPsyhcos n’était pas une opération simple. Les experts Talos et les autres experts en sécurité ont estimé que les infrastructures SSHPsychos ont coûté à elles seules plus de 100 000 $ à mettre en place, sans mentionner les dépenses opérationnelles continues. « Vous n’avez pas idée de la complexité de certains équipements que nous découvrons aujourd’hui », affirme Williams.

« Nos scientifiques des données sont des experts pour détecter les nuances qui se cachent dans les données. Ils ont la rigueur mathématique pour comprendre la théorie des ensembles et les algorithmes de groupement afin de déterminer avec assurance les qui, les quoi et les où d’une attaque.»

Matt Watchinski
Directeur général de Cisco Talos

Le chat et la souris

Une fois les attaquants du SSHPsychos localisés, il était temps de les pourchasser.

Talos était prêt. Et ils n’étaient pas seuls. Talos a développé des relations de confiance à travers la communauté de cybersécurité, l’une de celles-là s’est avérée vitale dans nos efforts pour neutraliser SSHPsychos.

Olney et l’équipe ont transmis de façon discrète ce qu’ils ont découvert aux collègues de recherche sur les menaces chez Level 3 Communications à Broomfield au Colorado, un fournisseur de télécommunications multinational qui a aidé à mettre sur pied les infrastructures mondiales « permanentes » de l’Internet.

« Nous collaborons avec Cisco Talos pour diminuer les menaces sur notre réseau et les réseaux de nos clients. En travaillant ensemble, nous créons une compréhension plus approfondie des mauvais acteurs qui permet de diminuer leur taux de réussite dans leurs opérations », affirme Mike Benjamin chez Level 3 Threat Research Labs.

Les professionnels de chez Level 3 ont rapidement compris la portée de la menace et sont immédiatement passés à l’action. Selon le protocole du client qui est utilisé, Level 3 ne pouvait pas simplement mettre un site sur la liste noire, peu importe le type de trafic qu’il générait. Au lieu de cela, ils ont alerté China Telecom des activités illicites présentes sur leur réseau.

Au fur et à mesure que l’enquête progressait rapidement, les attaquants l’ont découvert. Presque immédiatement, SSHPsychos est devenu silencieux. Pour la première fois, il est devenu presque impossible pour Talos de suivre la piste de l’attaquant.

Un jour, ces attaquants génèrent un tiers des activités SSH dans le monde. Le jour d’après, ils ne sont plus là. De de fait, la fenêtre pour les arrêter peut être de courte durée.

« C’est notre travail chez Talos de réunir les gens afin de s’assurer qu’ils sont bien informés à mesure que les menaces évoluent. Nous sommes tous ensemble dans cette aventure. »

Joel Esler
Directeur des renseignements sur les menaces
chez Cisco Talos

Esler porte plusieurs chapeaux chez Talos. En plus de travailler avec les organismes d’application de la loi, il a aussi dirigé une équipe qui gère plusieurs communautés de sécurité à code source libre incluant Snort, le système de détection d’intrusion reconnu universellement créé par Martin Roesch, qui a par la suite créé Sourcefire. Lorsque Sourcefire s’est joint à Cisco en 2013, Snort y était annexé. L’équipe d’Esler gère aussi TalosIntel.com, un site où Talos transmet les renseignements au public.

« C’est notre travail chez Talos de réunir les gens afin de s’assurer qu’ils sont bien informés à mesure que les menaces évoluent », affirme Esler. « Nous sommes tous ensemble dans cette aventure. »

Talos et Level 3 étaient prêts à pourchasser les attaquants à nouveau. Cette fois, ils n’ont pas été aussi délicats.

Le 7 avril 2015, Level 3 est intervenue pour la première fois pour mettre en place un trou noir ou blocage, de l’ensemble du trafic de SSHPsychos sur ses réseaux à l’échelle mondiale. Ils ont aussi contacté d’autres fournisseurs Internet pour les convaincre de faire de même.