qui sont les victimes du groupe APT1 ?

Si la question peut paraitre étrange au premier regard, elle devient plus pertinente à la lecture du rapport d'enquête de la société Mandiant sur une unité chinoise de cyber-espionnage.

"APT1: révélation sur l'une des unités chinoises de cyber-espionnage"

Telle est succinctement la traduction du rapport publié le 18 février par la société américaine Mandiant. Spécialisée dans le conseil en sécurité informatique, elle intervient également auprès de ses clients sur incidents. Depuis bientôt une dizaine d'année, la société dispose donc de retours d'expérience importants sur les menaces qui pèsent sur les systèmes des entreprises et les attaques qu'elles subissent.

Spécialistes des attaques dites APT ("Advanced Persistent Threat"), les experts en sécurité ont concentré leurs efforts sur l'analyse d'attaques émanant de groupes chinois. Au fil de l'enquête il est apparu qu'un groupe, nommé APT1, concentrait à lui seul, pratiquement 150 victimes d'intrusion durant les 7 dernières années. Le rapport de Mandiant avance même l'hypothèse d'un lien quasi-direct entre cette unité de cyber-espions et l'armée chinoise PLA (People’s Liberation Army), précisant qu'un tel groupe ne peut se vanter de campagnes d'intrusions aussi larges et longues sans que l'Etat Chinois n'en soit au courant, voire même sans qu'il n'y apporte son soutien.

ce que dit le rapport

Le rapport d'environ 60 pages, et ses annexes (15 pages + documents électroniques) cible précisément un groupe de hackers et le rattache à une unité militaire chinoise, l'unité "61398" et donc à l'organisation gouvernementale. Recroisant des informations relatives aux missions de cette unité, sur les formations dispensées ou nécessaires à ses membres et sur l'infrastructure de télécommunications d'une part, avec les données collectées de son côté lors d'attaques de sociétés clientes d'autre part, Mandiant décortique les activité de cyber-espionnage du groupe APT1.

L'unité 61398 appartiendrait au 2ème bureau de l'armée et hébergerait (ou constituerait)  le groupe APT1. Unité secrète engagée dans des opérations "informatique et réseaux", elle est située dans le district de Pudong à Shanghai, zone où les IPs de APT1 ont été localisées. De plus, ses cursus intègreraient la formation de son personnel à la sécurité informatique et celles des réseaux, ainsi qu'à l'anglais. Elle bénéficierait également d'une infrastructure de télécommunications spéciale, fournie par China Telecom.

Update 22/02/2013: il semblerait, selon SecureWeek, que de fausses copies du rapport Mandiant circulent sur Internet. Ces faux PDF seraient infectés par un malware. Certaines sources évoquent également la mise en ligne de faux rapport Mandiant portant sur un groupe nommé "APT2'".

des opérations d'envergure

Le groupe APT1 se distingue principalement par sa capacité à absorber des opérations volumineuses :

  • des centaines de Térabits de données volées dans 141 organisations (clientes de Mandiant)
  • des dizaines d'opérations simultanées, dans 20 secteurs d'activités différents
  • des intrusions s'étalant sur plusieurs mois et années parfois
  • des vols de données incluant processus, modèles financiers, contrats de partenariats et bases clients

S'appuyant sur une infrastructure d'envergure, constituée des milliers de machines pour contrôler les activités d'espionnage, d'un millier de machines dédiées aux tâches "Command & Control" et réparties dans 13 pays, le groupe APT1 aurait effectué près de 2 000 sessions de connexions "confirmées" à ses serveurs, durant les deux dernières années.

Doté d'un soutien possible de linguistes, d'auteurs de malwares, d'experts open-source, le groupe ciblerait ses victimes selon deux critères :

  1. les entreprises présentes dans des pays anglophones (87% des cas étudiés)
  2. et appartennant à des secteurs d'activités identifiés comme stratégiques par le plan quinquennal de la Chine.

quelques chiffres

Comme ils savent si bien le faire, nos experts américains n'ont pas oublié d'enrober leur rapport d'un joli papier Marketing, farçi de données plus surprenantes les unes que les autres.

En guise d'extrait, en voici quelques-unes :

  • un parc de 2 551 FQDN, au sein de 107 zones DNS, attribués au groupe APT1 ces 7 dernières années
  • 937 serveurs dits "Command & Control" hébergés par 849 adresses IP dans 13 pays
  • 817 des 832 (soit 98%) connexions Remote Desktop aux systèmes compromis proviennent de Chine
  • des intrusions sur une moyenne de 356 jours et de 1 764 jours (4 ans et 10 mois) pour la plus longue
  • un vol de données estimé, en 10 mois, à 6,5 térabits de données compressées pour une seule société
  • la mise à disposition par Mandiant de 1 007 signatures de malware utilisés par les cyber-espions
  • et pour abriter APT1, un bâtiment d'une surface de 12 139 mètres carrés (soyons précis)

mythe ou réalité ?

Même si de nombreuses déclarations par le passé ont laissé entendre que les activités de cyber-espionnage depuis la Chine représentaient un réel danger, notamment pour l'économie américaine, Mandiant semble aujourd'hui aller plus loin en ciblant des unités militaires, et donc gouvernemantales, quitte à refroidir quelque peu certaines relations diplomatiques.

Outre le lien possible entre le groupe APT1 et l'unité 61398, le faisceau d'indices dévoilé par Mandiant est intéressant. Pour la première fois dans ce type de rapport sont livrés des éléments techniques, de toute nature, reliant les activités incriminées à un même groupe :

  • une liste d'outils génériques ou exclusifs utilisés par les cyber-espions
  • plus de 3 000 noms de domaines, adresses IP et signatures MD5 des malwares utilisés
  • des empreintes de systèmes compromis (à décortiquer avec l'outil Redline de Mandiant bien sûr !)
  • des certificats X.509 utilisés lors d'attaques
  • une compilation de vidéos capturées à l'insu des pirates lors de l'utilisation de systèmes corrompus

guerre économique

Il serait à mon sens naïf de penser que les grands Etats de ce monde ne disposent pas de cellules spécialisées dans le cyber-espionnage. Depuis la chute du mur de Berlin, de nombreux analystes s'accordent à dire que les services secrets, autrefois impliqués dans la guerre froide, se sont peu à peu convertis à des activités de guerre économique. Dans une ère fortement numérique, il est donc fort probable que les 007 du monde entier ne travaillent plus avec des pinces crocodiles, ni avec des micros espions cachés dans des cendriers.

Si les experts américains semblent choqués par les activités du groupe APT1 et de ces homologues, qu'en est-il au pays de l'oncle Sam (la NSA n'étant pas, pour rappel, un club de fitness réservé aux joueurs d'échecs) ? Il n'est pas choquant non plus d'imaginer que les services européens ad-hoc soient passifs et simples spectateurs de cette cyber-guerre, au vu des enjeux économiques impliquant certaines de nos sociétés dans des marchés fortement mondialisés.

A la question "qui sont les victimes du groupe APT1 ?", il se pourrait donc que la liste des réponses soit longue ...

Vincent

crédit photo : mandiant.com

Vincent Maurin

Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.