Snake : le logiciel espion russe vieux de 20 ans neutralisé

Les agences de sécurité de cinq pays ont publié un avis commun révélant des détails techniques sur un outil d'espionnage sophistiqué utilisé par des acteurs russes malveillants contre plusieurs cibles. Selon leurs investigations, le malware Snake et ses variantes sont au cœur d'opérations d'espionnage russes menées par le Centre 16 du Service fédéral de sécurité russe (FSB) depuis près de vingt ans. Identifiés dans les infrastructures de plus de 50 pays d'Amérique du Nord, d'Amérique du Sud, d'Europe, d'Afrique, d'Asie et d'Australie, les protocoles de communication personnalisés de Snake utilisent le chiffrement et la fragmentation pour assurer la confidentialité et sont conçus pour entraver les efforts de détection et de collecte. Le FSB a utilisé Snake dans le monde entier pour collecter des informations sensibles auprès de cibles prioritaires telles que des réseaux gouvernementaux, des installations de recherche et des journalistes.

Cet avis a été publié par le Federal Bureau of Investigation (FBI), la National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA), la Cyber National Mission Force (CNMF), le National Cyber Security Center (NCSC) du Royaume-Uni, le Centre canadien de cybersécurité (CCCS), le Centre de la sécurité des télécommunications (CST) du Canada, le Cyber Security Centre australien (ACSC) et le NCSC de Nouvelle-Zélande. Ce bulletin de sécurité fait suite à un autre avertissement du NCSC britannique faisant état d'une nouvelle catégorie de de cybercriminels russes menaçant des infrastructures critiques.

La campagne malveillante de Snake entravée par l'opération MEDUSA

Le jour même de la publication de l'avis, le ministère américain de la justice a annoncé l'achèvement d'une opération autorisée par un tribunal, sous le nom de code MEDUSA, visant à perturber un réseau mondial d'ordinateurs P2P compromis par le logiciel malveillant Snake. L'opération MEDUSA a permis de désactiver ce malware sur les systèmes compromis à l'aide d'un outil créé par le FBI, appelé PERSEUS, qui émettait des commandes l'obligeant à écraser ses propres composants vitaux. « L'annonce d'aujourd'hui démontre la volonté et la capacité du FBI à associer ses autorités et ses capacités techniques à celles de ses partenaires internationaux pour perturber les acteurs malveillants », a expliqué Bryan Vorndran, directeur adjoint de la division cybersécurité du FBI. « Lorsqu'il s'agit de lutter contre les tentatives de la Russie de cibler les États-Unis et nos alliés à l'aide d'outils cyber sécurité complexes, nous ne faiblirons pas dans notre travail pour démanteler ces efforts ».

Snake est considéré comme l'outil de cyber-espionnage le plus sophistiqué de l'arsenal du FSB. « Premièrement, Snake utilise des moyens pour atteindre un niveau rare de furtivité dans ses composants hôtes et ses communications réseau. Deuxièmement, l'architecture technique interne de Snake incoprore facilement des composants nouveaux ou de remplacement. Enfin, Snake fait preuve d'une conception et d'une mise en œuvre soignées de l'ingénierie logicielle, l'implant contenant étonnamment peu de bogues compte tenu de sa complexité ». Le FSB a également mis en œuvre de nouvelles techniques pour aider ce malware à échapper à la détection, l'efficacité de l'implant de cyber-espionnage dépendant de sa furtivité à long terme pour fournir un accès constant à des renseignements importants. « Les aspects particulièrement sophistiqués de Snake témoignent des efforts considérables déployés par le FSB pendant de nombreuses années pour permettre ce type d'accès clandestin ».

Les nœuds d'infrastructure réseau externe visés

Snake est généralement déployé sur des nœuds d'infrastructure externes d'un réseau et, à partir de là, utilise d'autres outils et tactiques, techniques et procédures (TTP) sur le réseau interne pour mener d'autres opérations d'exploitation. « Après s'être introduit dans un réseau cible, le FSB cartogrpahie généralement le réseau et s'efforce d'obtenir les informations d'identification de l'administrateur et d'accéder aux contrôleurs de domaine. Un large éventail de mécanismes a été utilisé pour recueillir les authentifiants des utilisateurs et des administrateurs afin de s'étendre latéralement sur le réseau, notamment pour déployer des enregistreurs de frappe et des renifleurs de réseau ».

Une fois que les acteurs ont cartographié un réseau et obtenu les informations d'identification des administrateurs pour différents domaines, les opérations de collecte de données démarrent. Dans la plupart des cas avec Snake, d'autres implants lourds ne sont pas déployés, et ils s'appuient sur des informations d'identification et des outils légers d'accès à distance au sein d'un réseau. « Les opérateurs du FSB déploient parfois un petit shell inversé à distance avec Snake pour permettre des opérations interactives », expliquent les forces de police et de justice. « Ce shell inversé déclenchable, que le FSB utilise depuis une vingtaine d'années, peut être utilisé comme vecteur d'accès de secours ou pour maintenir une présence minimale dans un réseau et éviter d'être détecté tout en se déplaçant latéralement ». Snake utilise deux méthodes principales pour la communication et l'exécution des commandes, à savoir la méthode passive et la méthode active. Les opérateurs de Snake se servent généralement des opérations actives pour communiquer avec les points de saut au sein de l'infrastructure de Snake, tandis que les points d'extrémité de Snake ont tendance à utiliser uniquement la méthode passive.

Des méthodes de détection spécifiques

L'avis de sécurité présente plusieurs méthodes de détection disponibles pour Snake, en soulignant leurs avantages et leurs inconvénients. 

- La détection basée sur le réseau : Les systèmes de détection d'intrusion en réseau (NIDS) peuvent identifier certaines des variantes les plus récentes de Snake et de ses protocoles de réseau personnalisés. Parmi les avantages, citons la détection à grande échelle (à l'échelle du réseau) des protocoles de communication personnalisés de Snake, avec un niveau de confiance élevé. Les inconvénients sont la faible visibilité des opérations d'implantation de Snake et des données cryptées en transit. Les signatures HTTP, HTTP2 et TCP de Snake peuvent donner lieu à des faux positifs. Les opérateurs de Snake peuvent facilement modifier les signatures basées sur le réseau ;

- La détection basée sur l'hôte : Les avantages comprennent une confiance élevée basée sur l'ensemble des résultats positifs pour les artefacts basés sur l'hôte. Les inconvénients sont que de nombreux artefacts sur l'hôte peuvent facilement être déplacés pour exister à un autre endroit ou sous un autre nom. Les fichiers étant entièrement cryptés, il est difficile de les identifier avec précision ;

- L'analyse de la mémoire : Elle présente l'avantage d'être très fiable, car la mémoire offre le plus haut niveau de visibilité sur les comportements et les artefacts de Snake. Les inconvénients sont l'impact potentiel sur la stabilité du système et la difficulté de l'extensibilité.

Prévenir les techniques de persistance et de dissimulation de Snake

L'avis décrit également des stratégies pour empêcher les techniques de persistance et de dissimulation de Snake. La première consiste, pour les propriétaires de systèmes dont on pense qu'ils ont été compromis, à changer immédiatement leurs identifiants (à partir d'un système non compromis) et à n'utiliser aucun type de mot de passe similaire à ceux utilisés précédemment. « Snake utilise une fonctionnalité d'enregistrement de frappe qui renvoie régulièrement les journaux aux opérateurs du FSB. Il est recommandé de changer les mots de passe et les noms d'utilisateur pour des valeurs qui ne peuvent pas être forcées ou devinées sur la base des anciens mots de passe ». Il est également conseillé aux propriétaires de systèmes d'appliquer les mises à jour de leurs systèmes d'exploitation, car les versions modernes de Windows, Linux et MacOS rendent beaucoup plus difficile pour les adversaires d'opérer dans l'espace du noyau. « Il sera donc beaucoup plus difficile pour les acteurs FSB de charger le pilote du noyau de Snake sur le système cible », poursuit la note.

Si les propriétaires de systèmes reçoivent des signatures de détection de l'activité d'implantation de Snake ou ont d'autres indicateurs de compromission qui sont associés à des acteurs du FSB utilisant ce malware, l'entreprise concernée doit immédiatement lancer son plan de réponse à l'incident documenté, ajoute l'avis. Ce dernier devrait inclure la séparation des comptes utilisateurs et des comptes privilégiés afin de rendre plus difficile l'accès des acteurs du FSB aux informations d'identification de l'administrateur, l'utilisation de la segmentation du réseau pour refuser toutes les connexions par défaut à moins qu'elles ne soient explicitement requises pour une fonctionnalité spécifique du système, et la mise en œuvre d'une authentification multifacteurs (MFA) résistante au phishing pour ajouter une couche supplémentaire de sécurité même lorsque les informations d'identification du compte sont compromises.