C'est une attaque à grande échelle, préparée sur le long terme et qui a ciblé des entreprises de télécommunications sur plusieurs continents. Surnommée Opération Soft Cell par la société de sécurité qui l'a révélée, Cybereason, l’offensive a permis l’extraction de centaines de gigaoctets d'informations. L’entreprise israélienne affirme que les attaquants avaient le contrôle total des réseaux compromis et qu'ils auraient pu facilement détruire des réseaux cellulaires entiers s'ils l'avaient voulu. « Le service cellulaire est aujourd'hui une infrastructure critique », a commenté Amit Serper, chercheur principal en sécurité chez Cybereason et auteur du rapport. « Ce qui m'inquiète vraiment, c'est le nombre d'accès qu'ils ont au réseau. La pire chose qu'ils puissent faire, c'est de saboter tout le réseau, voire de le fermer. »

Cybereason n'a pas nommé les dix opérateurs concernés par l’attaque, mais selon M. Serper, ils couvrent l'Europe, l'Asie, le Moyen-Orient et l'Afrique. Aucun élément prouvant la compromission d’entreprises nord-américaines n’ont été découverts pour le moment. La société attribue l’incident au groupe APT10, affilié à la Chine, en raison de la similitude des outils, tactiques et procédures utilisés dans des offensives précédemment attribuées à celui-ci.

« Une attaque sophistiquée, stratégique et discrète »

Selon les chercheurs, les attaquants ont exfiltré plus de 100 Go d'informations, principalement sous la forme d'enregistrements de détails d'appels (Call detail records, CDR), probablement pour le compte d'une agence de renseignement, potentiellement sur une période de sept ans. « C'est une attaque sophistiquée, stratégique et discrète », pointe Amit Serper. Les CDR comprennent des journaux d'appels et de messages, des informations sur les appareils et des données sur l'emplacement de la tour de communication, qui pourraient donner la géolocalisation d’un téléphone et de son propriétaire.

Ces métadonnées, bien qu'elles ne fournissent pas d'information sur le contenu des appels et des messages envoyés, peuvent donner une image détaillée des mouvements et du réseau personnel d'une personne, ce qui donne à penser que le travail a été fait à des fins de renseignement plutôt que pour des raisons financières. « Ces enregistrements contiennent essentiellement toutes les informations et métadonnées brutes que votre téléphone envoie et reçoit vers et depuis le réseau cellulaire lui-même. »

La collecte d’informations n’est pas forcément terminée

Les attaquants auraient obtenu l'accès par l'intermédiaire d'un serveur public vulnérable, avant d'effectuer une reconnaissance et de se propager sur le réseau. En compromettant les justificatifs d'identité, ils ont pu créer des comptes d'utilisateur de domaine hautement privilégiés. « Ils ont leur propre compte d'administrateur de domaine. Ils ont déjà exfiltré la base de données d'Active Directory, ils ont donc accès à tous les enregistrements de celui-ci. » Bien qu'il semble que l’objectif des pirates était la collecte de renseignements, le groupe avait le contrôle total du réseau et aurait pu fermer les services s'il le souhaitait.

Le groupe a ciblé au moins vingt personnes dans le but précis d'obtenir de l'information sur leur CDM respectifs, ce qui laisse entendre qu'il s'agissait d'une attaque très ciblée au nom d'un organisme, et non d’une tentative opportuniste. « Ils ne voulaient pas de données de paiement, ils n'ont pas volé de cartes de crédit », souligne M. Serper. « Ils ont volé des enregistrements de données d’appel, ce qui est quelque chose de très, très, très précis. De ce que j’ai pu voir dans ma vie antérieure au service d'un organisme de renseignement, ce type d’opération est monnaie courante dans les agences. » Cybereason enquête sur cette opération depuis neuf mois et a informé ses clients et toutes les autres entreprises qu'elle a identifiées comme étant potentiellement compromises. L’enquête étant toujours en cours, l'entreprise ne peut pas dire si les attaques ont été corrigées sur les réseaux affectés.

Les détails de l’attaque n'ont pas été publiés, car la nature ciblée de ces attaques pourrait exposer les victimes. Cybereason aurait toutefois rencontré récemment les dirigeants des 25 plus grandes compagnies de téléphonie dans le monde pour expliciter le processus. « Les entreprises devraient vérifier qui a accès aux bases de données contenant leurs CDM et les surveiller de très près », conseille Amit Serper. « Assurez-vous que tous les serveurs externes soient complètement patchés et qu'il n'y a pas de code vulnérable dessus. »

APT10, un groupe déjà bien établi

Bien que l'attribution soit difficile dans de telles circonstances et que l'attaque ait pu être menée par un autre groupe utilisant des tactiques similaires, Cybereason estime qu'il peut affirmer « avec une très forte probabilité » que cette opération provient soit d’un acteur soutenu par un Etat, soit directement d'un Etat. APT10 est tout en haut de la liste des suspects. « Les outils, le comportement, les procédures, les tactiques, tout pointe vers la Chine et vers ce groupe spécifique. Nous pensons qu'il s'agit d'APT10, mais il pourrait aussi s'agir d'APT3 », ajoute M. Serper.

Également connu sous le nom de Menupass Team, APT10 est actif depuis au moins 2009 et travaillerait pour le compte de la Chine. Le groupe a déjà ciblé des entreprises de construction, d'ingénierie, d'aérospatiale et de télécommunications, ainsi que des gouvernements aux États-Unis, en Europe et au Japon. En 2016, une campagne ciblant les fournisseurs de services gérés (MSP), « Operation Cloud Hopper », leur a été atribuée. Les logiciels malveillants associés comprennent Haymaker, Snugride, Bugjuice et Quasarrat. En décembre 2018, deux Chinois accusés de faire partie d’APT10 et de travailler avec le ministère chinois de la Sécurité d'État ont été inculpés par le ministère américain de la Justice.

L'offensive dure depuis 2012

Pour cette attaque, le groupe a utilisé des versions personnalisées d'outils connus, dont beaucoup sont régulièrement utilisés dans des attaques attribuées à des groupes de hackers liés à la Chine. Il s'agit notamment d'une version de l'outil d'accès à distance Poison Ivy, du web shell China Chopper, d'un outil nbtscan modifié et d'une version « très fortement modifiée et personnalisée » de Mimikatz, un outil de vol de mots de passe. M. Serper indique qu'en plus de s'assurer que les outils fonctionnent dans les environnements qu'ils ciblent, bon nombre des modifications visaient à éviter la détection par les produits de sécurité. Le groupe opérait lentement, attendant parfois des mois entre les actions. « C'est ce qu'on appelle une attaque « low and slow ». Parfois, ils ont besoin de personnaliser les outils pour qu’ils fonctionnent correctement à l'intérieur du réseau, parfois ils peuvent penser qu'ils ont été détectés et se mettent donc à changer certaines choses pour ne plus l’être. »

Selon Cybereason, les attaquants auraient ainsi travaillé sur des réseaux compromis pendant sept ans. « Dans certaines brèches, nous avons trouvé d'anciennes versions de logiciels malveillants qui correspondent à des failles datant de 2012. » Bien que cela ne soit peut-être pas un indicateur clair du moment de l'attaque, les acteurs de la menace étaient présents assez longtemps pour estimer qu'il valait la peine d'installer leur propre système VPN pour avoir un accès plus facile aux réseaux. « C'est osé. S'ils font partie du réseau depuis sept ans et que leur accès existe toujours, ils pensent peut-être qu'ils sont intouchables et ils deviennent un peu arrogants. Qui ne le serait pas après sept ans ? »

Les télécoms doivent muscler leur jeu

Bien qu'une grande partie de l'attention récemment accordée à la sécurité 5G et réseau ait été portée sur Huawei, cette attaque montre que les entreprises de télécommunications doivent continuer de rattraper leur retard en matière de sécurité avant la prochaine génération de connectivité cellulaire.  Selon le rapport 2018 d'EfficientIP sur les menaces DNS mondiales, un tiers des entreprises de télécommunications ont perdu des informations sensibles sur leurs clients au cours des 12 derniers mois.

Lors d'un récent événement, Ciaran Martin, PDG de NCSC, a déclaré : « Il y a un problème structurel et durable dans la façon dont le marché des télécommunications a fonctionné dans le passé, qui n'a pas permis le développement d’une cybersécurité efficace. Nous devons profiter de cette occasion pour changer fondamentalement la façon dont nous assurons la sécurité des télécoms afin de renforcer la sureté et la résilience de notre infrastructure. Huawei ne concentre pas toutes les problématiques de sécurité 5G. »

Lorsqu'on lui demande si ces lacunes ont pu contribuer au succès de l'opération Soft Cell, Amit Serper défend les entreprises. « Si un État-nation veut entrer quelque part, il entrera. C’est une question de temps et de quantité d'efforts et de ressources qu’il voudra bien y consacrer, mais au bout du compte, ils trouveront un accès. Je ne pense pas que cela ne dise quoi que ce soit sur les dispositions sécuritaires prises par l’entité attaquée. »