Trace Id is missing

En première ligne : Décoder les tactiques et les techniques des acteurs chinois de la menace

Photo de Sherrod DeGrippo, directrice de Microsoft Threat Intelligence Strategy

Dans cet entretien captivant, Sherrod DeGrippo, experte chevronnée de la veille des menaces et forte de plus de 19 ans d'expérience, effectue une analyse approfondie du domaine du cyberespionnage. Avec Judy Ng et Sarah Jones, deux formidables spécialistes chargées de démêler le sujet complexe des cybermenaces en provenance de Chine, elles mettent en lumière les activités secrètes dans le paysage moderne des menaces. Ensemble, elles abordent les défis auxquels sont confrontés ceux qui protègent notre monde interconnecté. Préparez-vous à être plongés dans les histoires inédites et l'expertise extraordinaire de ces détectives numériques qui naviguent dans le royaume caché du champ de bataille cybernétique de la Chine.

Sarah Jones

En tant qu'analyste senior des menaces, j'effectue des recherches sur les groupes d’APT (menaces persistantes avancées) qui proviennent de Chine et travaillent pour le compte du gouvernement chinois. Je suis l'évolution de leurs logiciels malveillants au fil du temps et j'étudie leurs méthodes pour créer des infrastructures et compromettre les réseaux des victimes. Avant de rejoindre la Veille des menaces Microsoft, je me concentrais principalement sur la Chine, mais j'ai également travaillé sur des groupes iraniens et russes.

Pendant la majeure partie de mon parcours, et surtout au début de ma carrière, j'ai travaillé dans des centres d'opérations de sécurité et je me suis concentrée sur la sécurité interne des réseaux gouvernementaux et d'entreprise.

L'un des grands avantages de l'étude des groupes d'acteurs chinois de la menace est la possibilité de les suivre sur de longues périodes. Il est très intéressant de pouvoir faire des recherches sur des groupes vieux de dix ans et d'observer leur évolution au fil du temps.

Judy Ng

Comme Sarah, je suis également analyste senior des menaces, ce qui me permet d'ajouter l'analyse géopolitique à l'analyse des cybermenaces. Au cours des 15 dernières années de ma carrière, j'ai suivi les acteurs basés en Chine sous différents angles, que ce soit en soutenant le gouvernement américain, en occupant des postes dans des start-ups, en occupant différents postes dans des entreprises américaines et, bien sûr, chez Microsoft, où je travaille depuis 2020.

J'ai commencé par mettre l'accent sur la Chine parce que j'ai toujours été intéressée par ce pays. Au début de ma carrière, cet intérêt m'a permis de fournir un contexte qui échappait à mes collègues qui ne comprenaient peut-être pas certaines nuances de la langue ou de la culture chinoise.

Je crois que l'une de mes premières questions a été : « Judy, c’est quoi ’meat chicken’ ? Que signifie ’meat chicken’ en chinois ? »

La réponse était « botnet ». L'argot chinois « Meat chicken » était utilisé par les acteurs de la menace sur les forums en ligne pour décrire les botnets zombies

Judy Ng

Dans ce travail, on ne fait pas la même chose tous les jours. C'est exaltant. Vous pouvez exploiter tous les signaux puissants que Microsoft reçoit et vous laisser guider par ces données.

Vous ne vous lasserez jamais de ces données. Vous ne direz jamais « Oh, il n'y a rien à chasser ». Il y aura toujours quelque chose d'intéressant, et la plupart de nos coéquipiers en Chine sont curieux.

Qu'il s'agisse d'une chasse autoguidée ou d'un effort collectif pour étudier un sujet, il est tout simplement formidable que nous soyons tous curieux et que nous puissions emprunter différentes voies.

Sarah Jones

Je suis d'accord avec Judy. Chaque jour offre une nouvelle série de problèmes. Chaque jour, j'apprends l'existence d'une nouvelle technologie ou d'un nouveau logiciel qu'un acteur tente d'exploiter. Je dois ensuite retourner lire la documentation s'il s'agit d'une technologie ou d'un logiciel dont je n'ai jamais entendu parler. Parfois, je dois lire la RFC (demande de commentaires) d'un protocole parce que les acteurs de la menace en manipulent ou en exploitent certains aspects, ce qui nécessite de revenir à la documentation d'origine et de la lire.

Ces choses sont vraiment passionnantes pour moi, et j'ai l'occasion de travailler dessus tous les jours. Chaque jour, je découvre un nouvel aspect d’Internet dont je n'ai jamais entendu parler, puis je fais la course pour rattraper les acteurs de la menace afin de devenir une experte dans le domaine qu'ils ont décidé d'exploiter.

Sarah Jones

Avec la pandémie de COVID, nous avons constaté de nombreux changements. Pour les clients, le monde a changé. Du jour au lendemain, tout le monde est rentré chez soi et a essayé de continuer à travailler. De nombreuses entreprises ont dû reconfigurer complètement leurs réseaux, les employés ont modifié leur façon de travailler et, bien sûr, les acteurs de la menace ont réagi à tout cela.

Par exemple, lorsque les politiques concernant le télétravail ont été mises en place pour la première fois, de nombreuses organisations ont dû permettre l'accès, à partir de nombreux endroits différents, à des systèmes et ressources très sensibles qui n'étaient généralement pas disponibles en dehors des bureaux de l'entreprise. Nous avons vu des acteurs de la menace tenter de se fondre dans la masse, en se faisant passer pour des travailleurs à distance et en accédant à ces ressources.

Lorsque la pandémie de COVID a vu le jour, les politiques d'accès aux environnements d'entreprise devaient être établies rapidement, et parfois sans avoir le temps de rechercher et d'examiner les meilleures pratiques. Comme de nombreuses organisations n'ont pas revu ces politiques depuis leur mise en œuvre initiale, nous voyons aujourd'hui des acteurs menaçants tenter de découvrir et d'exploiter des configurations erronées et des vulnérabilités.

L'installation de logiciels malveillants sur les ordinateurs de bureau n'a plus la même valeur. Il s'agit maintenant d'obtenir des mots de passe et des jetons qui permettent d'accéder à des systèmes sensibles, comme le font les travailleurs à distance.

Judy Ng

Je ne sais pas si les acteurs de la menace ont pu travailler depuis leur domicile, mais nous disposons de données qui donnent un aperçu de l'impact des fermetures liées au COVID sur leur activité dans les villes où ils vivaient. Quel que soit l'endroit où ils ont travaillé, leur vie a été bouleversée, comme celle de tout un chacun.

Parfois, l'absence d'activité sur leurs ordinateurs nous permettait de constater les effets des fermetures à l'échelle de la ville. Il était très intéressant de voir l'impact de tous ces fermeture à l'échelle des quartiers dans nos données.

Judy Ng

J'ai un excellent exemple : l'un des acteurs de la menace que nous suivons, Nylon Typhoon. Microsoft a pris des mesures contre ce groupe en décembre 2021 et a perturbé l'infrastructure utilisée pour cibler l'Europe, l'Amérique latine et l'Amérique centrale.

Selon notre évaluation, une partie des activités des victimes a probablement consisté en des opérations de collecte de renseignements destinées à fournir des informations sur les partenaires impliqués dans « la nouvelle route de la soie »(BRI) pour le gouvernement chinois pour les projets d'infrastructure gérés par le gouvernement chinois dans le monde entier. Nous savons que les acteurs de la menace parrainés par l'État chinois pratiquent l'espionnage traditionnel et l'espionnage économique, et nous estimons que cette activité est probablement à cheval sur ces deux types d'activités.

Nous n'en sommes pas sûrs à 100 %, car nous n'avons pas de preuve irréfutable. Après 15 ans, je peux vous dire qu'il est très difficile de trouver ce genre de preuve. Ce que nous pouvons faire, en revanche, c'est analyser les informations, les replacer dans leur contexte et dire : « Nous estimons avec tel niveau de confiance que nous pensons que c'est probable pour telle ou telle raison. »

Sarah Jones

L'une des principales tendances consiste à passer des terminaux des utilisateurs et des logiciels malveillants personnalisés aux acteurs qui vivent réellement à la périphérie, en concentrant les ressources sur l'exploitation des périphériques et en maintenant la persistance. Ces appareils sont intéressants, car si quelqu'un y accède, ils peuvent y rester très longtemps.

Certains groupes ont réalisé des études approfondies impressionnantes sur ces appareils. Ils savent comment fonctionne leur microprogramme. Ils connaissent les vulnérabilités de chaque appareil et savent que de nombreux appareils ne prennent pas en charge les antivirus ou la journalisation granulaire.

Bien sûr, les acteurs savent que les appareils tels que les VPN sont maintenant un très bon moyen d’accès. Alors que les entreprises ajoutent des couches de sécurité telles que les jetons, l'authentification multifacteur (MFA) et les politiques d'accès, les acteurs deviennent de plus en plus habiles pour contourner et franchir les défenses.

Je pense que beaucoup d'acteurs ont compris que s'ils sont capables de maintenir une persistance à long terme grâce à un appareil tel qu'un VPN, ils n'ont pas vraiment besoin de déployer des logiciels malveillants où que ce soit. Ils peuvent simplement s'octroyer un accès qui leur permet de se connecter comme n'importe quel utilisateur.

En compromettant ces périphériques, ils s'octroient tous les droits sur le réseau.

Nous constatons également que les acteurs utilisent Shodan, Fofa ou toute autre base de données qui analyse Internet, répertorie les appareils et identifie les différents niveaux de correctifs.

Nous voyons également des acteurs effectuer leurs propres analyses de larges pans d’Internet, parfois à partir de listes de cibles préexistantes, à la recherche d'éléments exploitables. Lorsqu'ils trouvent quelque chose, ils effectuent un autre balayage pour exploiter l'appareil, puis reviennent plus tard pour accéder au réseau.

Sarah Jones

Les deux à la fois. Cela dépend de l'acteur. Certains acteurs sont responsables d'un pays donné. C'est leur cible, et tout ce qui les intéresse, ce sont les appareils de ce pays. Mais d'autres acteurs ont des objectifs fonctionnels et se concentrent donc sur des secteurs spécifiques tels que la finance, l'énergie ou l'industrie manufacturière. Ils auront dressé une liste de cibles sur plusieurs années parmi les entreprises qui leur tiennent à cœur et ces acteurs savent exactement quels appareils et quels logiciels utilisent leurs cibles. Nous observons ainsi que certains acteurs analysent une liste prédéfinie de cibles pour voir si elles ont été corrigées pour une vulnérabilité particulière.

Judy Ng

Les acteurs peuvent être très ciblés, méthodiques et précis, mais ils ont aussi parfois de la chance. Nous devons nous rappeler qu'il s'agit d'êtres humains. Lorsqu'ils effectuent leurs analyses ou saisissent des données à l'aide d'un produit commercial, ils ont parfois de la chance et obtiennent dès le départ la bonne série d'informations qui les aideront à lancer leur opération.

Sarah Jones

C'est tout à fait ça. Mais la bonne défense ne se limite pas à l'application de correctifs. La solution la plus efficace semble simple, mais elle est très difficile à mettre en pratique. Les organisations doivent comprendre et inventorier leurs appareils exposés à Internet. Ils doivent savoir à quoi ressemble le périmètre de leur réseau, et nous savons qu'il est particulièrement difficile de le faire dans les environnements hybrides avec des appareils sur site et dans le cloud.

La gestion des périphériques n'est pas facile, et je ne veux pas prétendre qu'elle l'est, mais connaître les périphériques de votre réseau, et les niveaux de correctifs pour chacun d'entre eux, est la première étape à franchir.

Une fois que vous savez ce que vous avez, vous pouvez augmenter la capacité d'enregistrement et la télémétrie de ces appareils. S'efforcer d'obtenir une granularité dans les journaux. Ces appareils sont difficiles à défendre. Le meilleur moyen pour un défenseur de réseau de protéger ces appareils est d'enregistrer les données et de rechercher les anomalies

Judy Ng

J'aimerais pouvoir prédire les projets du gouvernement chinois. Malheureusement, ce n'est pas le cas. Mais ce que nous pouvons constater, c'est probablement un appétit pour l'accès à l'information.

Chaque nation a cet appétit.

Nous aussi, nous aimons nos informations. Nous aimons nos données.

Sarah Jones

Judy est notre experte de la Nouvelle route de la soie (BRI) et notre experte en géopolitique. Nous nous appuyons sur ses idées lorsque nous examinons les tendances, en particulier en matière de ciblage. Parfois, nous voyons apparaître une nouvelle cible qui n'a pas vraiment de sens. Cela ne correspond pas à ce qu'ils ont fait précédemment, et nous allons donc en parler à Judy, qui nous dira : « Oh, il y a une réunion économique importante qui se tient dans ce pays, ou il y a des négociations autour de la construction d'une nouvelle usine à cet endroit. »

Judy nous fournit un contexte précieux, mais essentiel, sur les raisons pour lesquelles les acteurs de la menace agissent de la sorte. Nous savons tous comment utiliser Bing Translate, et nous savons tous comment consulter les actualités, mais lorsque quelque chose n'a pas de sens, Judy peut nous dire « Eh bien, cette traduction signifie en fait ceci », et cela peut faire toute la différence.

La traque des acteurs chinois de la menace nécessite des connaissances culturelles sur la structure de leur gouvernement et sur le fonctionnement de leurs entreprises et institutions. Le travail de Judy aide à démêler la structure de ces organisations et nous permet de savoir comment elles fonctionnent, comment elles gagnent de l'argent et interagissent avec le gouvernement chinois.

Judy Ng

Comme l'a dit Sarah, c'est une question de communication. Nous sommes constamment sur le chat de Teams. Nous partageons toujours les informations que nous avons pu obtenir par télémétrie et qui nous ont aidés à trouver une conclusion possible.

Judy Ng

Quelle est mon astuce ? Beaucoup de temps passé sur Internet et à lire. Plus sérieusement, je pense que l'une des choses les plus précieuses est simplement de savoir comment utiliser les différents moteurs de recherche.

Je suis à l'aise avec Bing, mais aussi avec Baidu et Yandex.

En effet, les moteurs de recherche fournissent des résultats différents. Je ne fais rien de spécial, mais je sais qu'il faut rechercher différents résultats provenant de différentes sources afin de pouvoir analyser les données à partir de là.

Tous les membres de l'équipe sont très compétents. Tout le monde a des superpouvoirs, il suffit de savoir à qui demander. Et c'est une bonne chose que nous travaillions dans une équipe où tout le monde est à l'aise pour poser des questions à l'autre, n'est-ce pas ? Nous disons toujours qu'il n'y a pas de questions idiotes.

Sarah Jones

Cet endroit est alimenté par des questions idiotes.

Sarah Jones

Parlons maintenant de la sécurité informatique. Lorsque j'ai commencé, il n'y avait pas beaucoup de cours, de ressources ou de moyens à explorer. Il existe désormais des programmes de licence et de master ! Aujourd'hui, il existe de nombreuses façons d'accéder à la profession. Oui, il y a des voies qui peuvent coûter beaucoup d'argent, mais il y a aussi des voies moins coûteuses et gratuites.

Une ressource gratuite de formation à la sécurité a été développée par Simeon Kakpovi et Greg Schloemer, nos collègues de la Veille des menaces Microsoft. Cet outil, appelé KC7, permet à n’importe qui d'accéder à la sécurité informatique, de comprendre les événements du réseau et de l'hôte et de rechercher des acteurs.

Aujourd'hui, il est également possible d'être exposé à toutes sortes de sujets différents. Lorsque j'ai commencé, il fallait travailler dans une entreprise disposant d'un budget de plusieurs millions de dollars pour pouvoir s'offrir ces outils. Pour beaucoup, il s'agissait d'une barrière à l'entrée. Mais aujourd'hui, tout le monde peut analyser des échantillons de logiciels malveillants. Il était auparavant difficile de trouver des échantillons de logiciels malveillants et des captures de paquets. Mais ces barrières sont en train de tomber. Aujourd'hui, il existe un grand nombre d'outils et de ressources gratuits et en ligne qui vous permettent d'apprendre par vous-même et à votre rythme.

Je vous conseille de trouver le créneau qui vous convient le mieux. Vous voulez faire des recherches sur les logiciels malveillants ? La criminalistique numérique ? La Veille des menaces ? Concentrez-vous sur vos sujets préférés et profitez des ressources accessibles au public pour en apprendre le plus possible.

Judy Ng

Le plus important est d'être curieux, n'est-ce pas ? Outre la curiosité, il faut savoir travailler avec les autres. Il ne faut pas oublier qu'il s'agit d'un sport d'équipe : personne ne peut assurer seul la cybersécurité.

Il est important de pouvoir travailler en équipe. Il est important d'être curieux et ouvert à l'apprentissage. Vous devez être à l'aise pour poser des questions et trouver des moyens de travailler avec vos coéquipiers.

Sarah Jones

C'est tout à fait vrai. Je tiens à souligner que la Veille des menaces Microsoft travaille avec de nombreuses équipes partenaires de Microsoft. Nous comptons beaucoup sur l'expertise de nos collègues pour nous aider à comprendre ce que les acteurs font et pourquoi ils le font. Nous ne pourrions pas faire notre travail sans eux.

Articles connexes

Volt Typhoon cible des infrastructures américaines critiques avec des techniques de "survie sur le terrain" (living-off-the-land)

L’acteur de la menace Volt Typhoon, soutenu par l’État chinois, a été observé en train d’utiliser des techniques furtives pour cibler les infrastructures critiques des États-Unis, mener des activités d’espionnage et s’installer dans des environnements compromis.

Mise en contexte géopolitique de la veille des cybermenaces

Fanta Orr, experte en veille des menaces, explique comment l’analyse des renseignements issus de la veille des menaces permet de découvrir les raisons derrière l’activité des cybermenaces afin de mieux protéger les clients susceptibles d’en être la cible.

Une cyberhygiène de base permet d’éviter 98 % des attaques

La cyberhygiène de base reste le meilleur moyen de défendre les identités, les appareils, les données, les applications, l’infrastructure et les réseaux d’une organisation contre 98 % de toutes les cybermenaces. Découvrez des conseils pratiques dans un guide complet.

Suivez la Sécurité Microsoft