Les APT américaines, leaders mondiales de la cyberguerre ?

Dans un contexte géopolitique marqué par des affrontements directs et indirects entre grandes puissances, le milieu cyber ne fait pas exception. Les États passent par ce dernier pour espionner, voire déstabiliser les autres, et ce notamment par l’intermédiaire des Advanced Persistent Threat (APT).

Les APT, terme introduit par la société Mandiant aux États-Unis, sont des groupes d’attaquants disposant d’un soutien étatique, d’un haut niveau technique, d’un accès à des ressources importantes et qui réalisent des attaques minutieusement préparées s’inscrivant dans la durée. À la différence des groupes de cybercriminels classiques, les APT ont rarement des intérêts pécuniaires et cherchent davantage à obtenir des informations stratégiques, voire à paralyser l’organisation ciblée. Enfin, leurs attaques ne sont jamais opportunistes, mais visent une entité ou une personne bien précise. À titre indicatif, on comptait 150 APT à l’échelle mondiale en 2020 selon le cabinet Deloitte [1].

Vault 7

Il est toutefois intéressant de noter la très forte médiatisation des attaques par les APT de pays tels que la Russie, la Chine, la Corée du Nord ou encore l’Iran. Cette situation s’explique d’un côté par un important biais occidental, hostile à la Russie et la Chine, et de l’autre, par le fait que l’attribution d’une attaque à un pays demeure un acte politique. De ce fait, selon les alliances ou inimitiés d’un pays, ce dernier aura davantage tendance à pointer du doigt tel ou tel autre État.

L’un des principaux champions en matière d’APT est la Chine. Pékin est réputée pour avoir vraisemblablement conduit l’opération « Titan Rain [2] », ayant ciblé des données militaires et aérospatiales américaines entre 2003 et 2006. Un second exemple est celui de l’opération « Aurora [3] » révélée en 2010. À cette occasion, 34 entreprises (majoritairement américaines) ont été ciblées. Les attaquants visaient en réalité des militants pour les Droits de l’Homme et des opposants politiques chinois. Les experts estiment que les responsables étaient des membres de l’Armée Populaire de Libération (APL) de Chine connus sous le nom d’APT 1, Unité 61398 ou encore Shanghai Group.

La Russie n’est quant à elle pas en reste avec, par exemple, le groupe APT 28 aussi appelé Fancy Bear, Sofacy Group ou encore Pawn Storm. Ce dernier est connu pour avoir ciblé des infrastructures de l’OTAN en 2015 [4] ou encore pour l’attaque contre la chaîne d’information française TV5 Monde [5] la même année. Au départ, l’ État islamique a été considérée comme responsable. Néanmoins, après quelques semaines de recherches, l’ANSSI [6] a déclaré APT 28 comme étant l’auteur de l’attaque.

Ainsi, face à un apparent monopole eurasiatique, on peut se demander quelle est la place réelle des APT occidentales dans la cyberguerre mondiale à l’œuvre. De fait, en Occident, il est assez rare d’entendre parler d’opérations cyber menées par les puissances occidentales. Pourtant, lorsqu’on lit les médias chinois et russes, on apprend que Pékin et Moscou font régulièrement l’objet de cyberattaques américaines. En effet, le volet cyber fait évidemment partie de l’arsenal des puissances occidentales. Si la posture de pays comme la France est généralement considérée comme défensive, d’après les chercheurs de l’entreprise chinoise RedDrip Team [7] Washington a plutôt tendance à mener des opérations offensives.

Pour illustrer cela, on peut citer plusieurs opérations conduites par différentes APT contre la Chine, dont trois américaines :

  • APT-C-39 / Longhorn / Lamberts ;
  • Equation / Formula ;
  • Eye of Sauron / Sauron / Strider.

Le premier groupe, APT-C-39 rattaché à la CIA, est actif depuis 2011. Depuis sa création, le groupe aurait eu recours à de nombreuses portes dérobées (backdoor) telles que Fluxwire et des failles 0-day. Leur objectif principal est le vol d’informations stratégiques d’entreprises des secteurs financiers, des télécommunications, de l’énergie, de l’aérospatial, des technologies, de l’éducation ou encore des ressources naturelles. Au total, ce sont 16 pays, dont la Chine, qui semblent avoir été ciblés. APT-C-39 a été médiatisée en 2017 lors des révélations de Wikileaks sur « Vault7 » [8]. Ce nom de code désigne le principal outil de cyberespionnage utilisé par le groupe.

Le second groupe, Equation/Formula, existe depuis 1996 et serait lié à la National Security Agency (NSA). Il se caractérise par un haut niveau de technicité et est notamment soupçonné d’avoir développé les vers informatiques Stuxnet et Flame. La première opération [9] ciblait les centrifugeuses nucléaires iraniennes et a été conduite conjointement avec Israël en 2010. Dans ce cas, la posture est offensive avec une réelle volonté de détruire l’infrastructure et non pas seulement obtenir des informations. Le ver Flame [10] aurait, quant à lui, été utilisé en 2013 à des fins de cyberespionnage dans la région du Moyen-Orient. Au total, les experts estiment qu’il y aurait eu 500 organisations victimes du groupe à travers 30 pays, dont la Russie, la Syrie, l’Afghanistan, les Émirats Arabes Unis, la Chine et le Royaume-Uni.

Le dernier groupe, Eye of Sauron, serait actif depuis 2011. Sa particularité, outre une importante maîtrise technique, est l’installation d’un trojan dont le premier objectif est d’être dissimulé au sein du Système d’Information durant une longue période. Ce n’est que lorsque les attaquants transmettent une commande d’activation que le trojan s’exécute. Une autre particularité du groupe est sa capacité à s’infiltrer dans les locaux pour brancher physiquement une clé USB dans le but d’exfiltrer des données de machines non reliées à internet. Ce savoir-faire aurait permis au groupe de cibler 30 pays dont les infrastructures gouvernementales chinoises, russes, belges et suédoises ainsi que les secteurs de la recherche, de l’aérospatial et de la finance.

En définitive, les États-Unis ne sont pas en reste dans la cyberguerre tant sur le volet de la guerre hybride avec les APT que des forces conventionnelles comme le US Cyber Command. Cette unité, créée en 2010, est notamment connue pour avoir mené l’opération « Glowing Symphony » [11] contre les serveurs de Daesh en 2016.

Tous ces exemples montrent que la réalité des attaques par APT est souvent analysée selon les prismes propres à chaque région du monde. Bien qu’informels, ces acteurs sont utilisés de part et d’autre dans la compétition mondiale qui fait rage entre les États, le but étant pour chacun d’entre eux de se hisser au plus haut niveau.

Références :

https://www2.deloitte.com/ch/en/pages/risk/articles/advanced-persistent-threat.htm

https://portail-ie.fr/analysis/2254/advanced-persistent-threat-une-arme-croissante-de-la-guerre-de-linformation

https://www.fireeye.fr/current-threats/apt-groups.html

https://www.mandiant.com/resources/apt-groups

https://www.futura-sciences.com/tech/actualites/technologie-equation-group-maitres-cyberespionnage-57202/

https://medium.com/@Reveelium_AI/the-story-of-sauron-one-apt-to-rule-them-all-1f5c39674067

https://content.fireeye.com/apt41-fr/rpt-apt41-fr

https://www.zdnet.fr/actualites/l-armee-americaine-n-etait-pas-prete-a-gerer-la-quantite-de-donnees-recuperee-chez-daesh-39897849.htm

http://www.hackdig.com/11/hack-543376.htm

https://www.bbc.com/news/technology-18238326

https://www.npr.org/2019/09/26/763545811/how-the-u-s-hacked-isis?t=1639665049843

https://wikileaks.org/ciav7p1/

https://www.capital.fr/economie-politique/une-piste-russe-pour-la-cyberattaque-contre-tv5monde-1046867

https://information.tv5monde.com/info/cyberattaque-de-tv5monde-s-agirait-il-de-pirates-informatiques-russes-37691

https://securityaffairs.co/wordpress/98885/apt/cia-hacking-china.html
https://www.docaufutur.fr/2017/06/06/elon-fireeye-groupe-russe-apt28-a-lorigine-de-cyber-attaques-contre-gouvernement-montenegro/

CERT-XMCO

Découvrir d'autres articles