La tâche déjà difficile d'attribuer une attaque informatique à des cyberpirates est rendue plus difficile par la nature changeante des groupes de menace. Malgré tous les efforts des chercheurs, certains attaquants peuvent ne jamais être identifiés. Lors de la conférence VB2021 (Virus Bulletin International conference), qui s’est déroulée en ligne les 7 et 8 octobre derniers, des analystes et des chercheurs en cybersécurité ont parcouru les pistes qu'ils ont suivies pour identifier les acteurs malveillants à l'origine des attaques contre Colonial Pipeline, Sony Pictures et le système ferroviaire iranien. Ces exemples montrent pourquoi l'attribution des cyberattaques est compliquée et parfois impossible. 

De Carbanak à BlackMatter 

Les chercheurs de CrowdStrike ont rapidement attribué l'attaque du Colonial Pipeline en mai dernier à un groupe connu sous le nom de Carbon Spider, un groupe de cyberpirates probablement basé en Europe de l'Est ou en Russie. Mais comme l'ont expliqué Josh Reynolds, chercheur principal en sécurité chez CrowdStrike, et Eric Lou, analyste principal des renseignements chez CrowdStrike, lors de la conférence VB2021, le groupe n'a pas toujours été une menace avec un outil ransomware de type "big game". Carbon Spider a commencé en 2013 à utiliser le malware Carbanak pour cibler les institutions financières avant de s'attaquer en 2015 aux restaurants et au secteur de l'hôtellerie avec un malware ciblant les terminaux de points de vente (POS) pour collecter les données des cartes de paiement. En 2016, Cobalt Spider s'est séparé de Carbon Spider pour s'occuper des vols de données de cartes, tandis que Carbon Spider a continué à cibler les entités financières.  

En avril 2020, la pandémie de covid-19 a contraint le groupe à effectuer un " pivot dramatique " en s'éloignant du vol de données de cartes, la crise ayant réduit les transactions en personne. Les acteurs malveillants se sont alors tournés vers des campagnes plus ambitieuses, notamment des attaques par ransomware utilisant le ransomware as a service (RaaS) de REvil. Puis, en août 2020, Carbon Spider a réorienté ses efforts en matière de ransomware vers son propre malware, DarkSide, que le groupe a ouvert aux affiliés en tant que fournisseur de RaaS en novembre 2020. CrowdStrike n'a pas attribué l'attaque Colonial Pipeline à Carbon Spider à partir d'un seul point de données, mais en comparant de nombreux incidents DarkSide à Carbon Spider. Les chercheurs ont examiné les tactiques, les techniques et les procédures ainsi que l'utilisation distinctive de l'outillage, de l'infrastructure partagée et d'autres preuves forensiques pour désigner Carbon Spider comme le coupable de l'attaque du pipeline. Une semaine après l'attaque du 8 mai, l'opération DarkSide RaaS a été arrêtée. Trois semaines plus tard, le ministère américain de la Justice a annoncé qu'il avait saisi la part de la société affiliée provenant du paiement de la rançon de Colonial Pipeline. 

Cependant, Carbon Spider n'a pas cessé ses activités, même après ces événements, qui ont suscité une condamnation sévère de la part du gouvernement américain et de la communauté internationale. Des éléments indiquent qu'il a repris ses activités dans le cadre d'autres incidents de diffusion de logiciels malveillants. Le 21 juillet, un groupe appelé BlackMatter est apparu, cherchant à accéder à des cibles de ransomware de grande envergure dont le chiffre d'affaires annuel dépasse 100 millions de dollars aux États-Unis, au Canada, en Australie et au Royaume-Uni. CrowdStrike a procédé à l'ingénierie inverse des variantes Windows de DarkSide et de BlackMatter et a constaté suffisamment de chevauchements pour penser que BlackMatter est simplement DarkSide sous une nouvelle forme. Selon les chercheurs de CrowdStrike, le véritable danger des groupes de ransomware est donc qu'ils peuvent s'adapter aux nouvelles tendances et se réinventer. Il n'est pas question de revenir aux vols de données dans les points de vente, car les ransomwares sont trop lucratifs. 

"La grande chose à attendre de Carbon Spider, c'est qu'ils vont toujours continuer à s'améliorer", a déclaré Eric Lou. "Ils vont toujours continuer à introduire de nouveaux vecteurs d'accès initiaux, de nouveaux PowerShell intermédiaires, des attaquants et des injecteurs. Il faut donc s'attendre à ce qu'ils continuent à innover. Dans un an, je ne serai pas surpris qu'ils soient nettement plus performants qu'ils ne le sont aujourd'hui."  

Lazarus composé de nombreux groupes 

Des chercheurs en sécurité ont déploré que tous les logiciels malveillants nord-coréens soient attribués à un seul acteur de la menace connu sous le nom de Lazarus Group, également connu sous le nom de Hidden Cobra. Lazarus est surtout connu pour avoir lancé l'attaque de 2014 contre Sony Pictures et a ensuite été relié aux attaques WannaCry 2.0 de 2017. Les chercheurs notent également la confusion de Lazarus avec le groupe de menaces chinois présumé connu sous le nom de Winnti, a déclaré Seongsu Park, chercheur principal en sécurité au sein de l'équipe de recherche et d'analyse mondiale de Kaspersky. 

En réalité, Lazarus a évolué et se compose de plusieurs "groupes" différents, notamment :   

- ThreatNeedle, qui cible les échanges de cryptomonnaies, les entreprises de jeux mobiles, l'industrie de la défense et les chercheurs en sécurité. 

- AppleJeus, qui a ciblé une bourse de cryptomonnaies, une société de technologie financière et une société de blockchain. 

- Bookcode, qui a ciblé un fournisseur de logiciels, un entrepreneur de la défense et une société pharmaceutique. 

- DeathNote (également connu sous le nom de DreamJob), qui a ciblé une entité automobile, un milieu universitaire, une organisation de défense, un groupe de réflexion et une société de logiciels. 

- CookieTime (également connu sous le nom de LCPDot), dont les cibles ont été des organisations de défense, d'énergie et pharmaceutiques.

- MATA (également connu sous le nom de Dacls), qui a un lien fragile avec Lazarus et se concentre sur la cybercriminalité et l'espionnage. 

Selon M. Park, il est possible qu'il y ait encore plus de clusters Lazarus, avec des degrés divers de similitudes et de différences. L'essentiel, cependant, est que tous les groupes sont en constante évolution. "Tous les acteurs de la menace évoluent", a déclaré M. Park. "Même leurs structures internes changent et leurs dirigeants changent. Ces changements continuels rendent l'attribution difficile." 

Le groupe de menace Indra pourrait être un État-nation

Enfin, certains acteurs de la menace très connus peuvent échapper à l'attribution, même après avoir été examinés par les meilleurs analystes du renseignement sur les menaces. Par exemple, Itay Cohen, chercheur principal en logiciels malveillants chez Check Point Software Technologies, et Alexander Gofman, analyste en logiciels malveillants au sein de l'équipe d'analyse du renseignement sur les menaces de Check Point, ont résumé l'enquête menée par leur équipe sur le piratage du système ferroviaire iranien qui a eu lieu début juillet 2021. Cette attaque, qui a mis hors service l'ensemble du réseau ferroviaire du pays, est devenue évidente lorsque des messages sont apparus sur les panneaux électroniques des gares, indiquant que les retards étaient dus à une cyberattaque, et demandant aux passagers d'appeler le 64411, le numéro qui appartenait alors au leader suprême du pays, l'ayatollah Khamenei. La principale charge utile livrée lors de l'incident était un effaceur baptisé Meteor. Meteor était relié à deux autres wipers appelés Comet et Stardust, utilisés dans des attaques similaires contre la compagnie aérienne Cham Wings basée en Syrie, la société syrienne de transfert d'argent et de devises Al-Fadel, et des organisations de commerce et de raffinage du pétrole. Les trois variantes du nettoyeur contenaient des images d'arrière-plan commençant par "Je suis Indra", le dieu hindou de la guerre et destructeur du mal, donnant au groupe à l'origine des attaques le surnom d'Indra. Dans tous les cas, les auteurs des attaques affirment être des "hacktivistes" engagés dans des batailles numériques pour leurs causes politiques anti-iraniennes. 

L'Iran n'est pas étranger aux attaquants hacktivistes. En 2018, le groupe hacktiviste appelé Tapandegan a attaqué deux aéroports en Iran. Les autorités iraniennes affirment que les attaquants ont été identifiés et arrêtés. Quelques mois plus tard, le système de radiodiffusion iranien et la messagerie du consulat d'Iran à Berlin ont été piratés par le même groupe. Plus récemment, fin août 2021, un groupe d'hacktivistes appelé Edalat-e Ali (la justice d'Ali) a lancé une attaque contre la prison d'Evin en Iran. Cette attaque a fait la une des journaux en raison des images horribles diffusées par les caméras de sécurité de la prison.  

Malgré la connaissance détaillée de toutes ces attaques et la maîtrise du flux d'exécution du malware wiper utilisé dans l'attaque ferroviaire, Check Point est incapable d'attribuer l'incident à un acteur de la menace en particulier. "Nous avons entre guillemets des attaques hacktivistes avant et après les attaques menées par Indra", a déclaré Itay Cohen. 

"Qui dit que ces groupes sont des hacktivistes et ne sont pas parrainés par des États-nations ? Ils pourraient tout aussi bien l'être. Ce n'est pas improbable. Nous avons vu plusieurs attaques ces dernières années dans lesquelles des pays se déguisent en hacktivistes", comme les agents des services de renseignement russes se faisant passer pour Guccifer 2.0 à l'approche de l'élection présidentielle de 2016. "Alors, qui est derrière Indra ? La réponse est : nous ne le savons pas."