Symantec publie son étude sur Hidden Lynx, un groupe de pirates expert


Logo Symantec

Symantec a enquêté sur un groupe de pirates qui  compte parmi les plus performants. En effet ces dernières années, des rapports ont été régulièrement publiés sur les activités d’acteurs du Web responsables de diverses attaques ciblées et d’APT (Advanced Persistent Threats), ou menaces avancées persistantes. Il a été surnommé   « Hidden Lynx », suite à une chaîne de script trouvée dans les communications des serveurs de commande et de contrôle. Ce groupe est plus motivé et dynamique que les autres  groupes bien connus tels que APT1/Comment Crew.

Il se caractérise par les éléments suivants :

  • prouesse  technique ;
  • agilité  ;
  • organisation  ;
  • ingéniosité  ;
  • patience.

Les compétences  du groupe se sont illustrées lors de campagnes incessantes  menées simultanément contre plusieurs cibles sur une longue  période de temps. Ces pirates ont été les premiers  à utiliser la technique du « trou d’eau » – «   watering hole » en anglais – pour piéger leurs cibles. Ils  accèdent rapidement aux failles « zero-day », et disposent  de la ténacité et de la patience du chasseur intelligent qui  compromet  la chaîne  logistique afin d’atteindre sa véritable cible. Ces attaques contre la  chaîne logistique consistent à infecter les ordinateurs d’un fournisseur de l’entreprise visée, dans l’attente que les  ordinateurs infectés soient installés chez la cible et  communiquent avec des ordinateurs distants. Ce sont clairement des actions  froidement préméditées plutôt que des incursions  impulsives d’amateurs.

Ce groupe ne se limite  pas seulement à quelques cibles, mais vise des centaines d’entreprises  différentes dans de nombreuses régions, même  simultanément. Étant donné la diversité et le  nombre des cibles et des régions concernées, Symantec en  déduit que ce groupe est très probablement une organisation professionnelle de pirates qui louent ses services à des clients  souhaitant obtenir des informations. Ils volent à la demande ce qui  intéresse leurs clients, quelle qu’en soit la nature, d’où le large  éventail de cibles.

Symantec pense  également que pour mener des attaques de cette envergure, le groupe  doit disposer d’un nombre considérable d’experts en piratage. Symantec  estime que 50 à 100 opérateurs sont employés et  répartis en au moins deux équipes distinctes, chargées  de mener différentes activités à l’aide d’outils  et de techniques divers. Ces types d’attaque nécessitent du temps et  du travail. Certaines campagnes impliquent de rechercher et de collecter des  renseignements avant de pouvoir mettre au point une attaque fructueuse.

Une équipe en  première ligne utilise les outils disponibles ainsi que des techniques  de base, mais suffisamment efficaces pour attaquer plusieurs cibles  différentes. Elle peut également collecter des informations.  Nous l’appelons l’équipe Moudoor, d’après le nom du cheval de  Troie qu’elle utilise. Moudoor est un cheval de Troie de porte  dérobée que l’équipe emploie largement sans se soucier  de sa découverte par les spécialistes de la sécurité.  L’autre équipe agit comme une unité d’opérations  spéciales, composée de membres d’élite qui infiltrent  les cibles les plus précieuses ou les plus robustes. Cette  équipe utilise un cheval de Troie nommé Naid et, en  conséquence, nous la définissons comme l’équipe Naid.  Contrairement à Moudoor, le cheval de Troie Naid est utilisé  avec parcimonie et prudence pour éviter qu’il ne soit  détecté et bloqué, comme une arme secrète  utilisée uniquement lorsque l’échec n’est pas envisageable.

Depuis 2011, Symantec a  observé au moins six campagnes importantes menées par ce  groupe. La plus remarquable d’entre elles est l’attaque VOHO de juin 2012. L’aspect intéressant de cette action était l’utilisation  d’attaques de type « watering hole » (« trou  d’eau ») destinée à compromettre la fiabilité des fichiers Bit9 pour la signature d’infrastructure. La campagne VOHO visait les fournisseurs de l’armée américaine  dont les systèmes étaient protégés par une  solution de protection de Bit9, mais lorsque l’attaque des pirates Hidden Lynx a été bloquée par cet obstacle, ils ont reconsidéré leur approche et estimé que la meilleure façon de contourner ce  logiciel était de compromettre le cœur du système de protection proprement dit pour l’exploiter à leurs fins. C’est exactement ce qu’ils ont fait en se concentrant sur Bit9 et en  pénétrant ses systèmes. Les pirates se sont alors  rapidement introduits dans l’infrastructure de signature de fichier sur  laquelle repose le modèle de protection de Bit9, et ont utilisé ce système pour signer un certain nombre de fichiers malveillants. Ils ont ensuite utilisé ces fichiers pour compromettre leurs cibles.

Plus d’informations sur Hidden Lynx et leurs actions sont disponibles dans le livre blanc publié qui vient d’être publié. Les  informations clés relatives à ce groupe prolifique sont  disponibles dans l’infographie ci-jointe (en anglais).

Hidden Lynx - Infographie

Beugré Jean-Augustin

CEO, Editor in Chief & Founder at Le Journal du Numérique since more than 10 years now - Je suis le CEO, Rédacteur en Chef et Fondateur du réseau Kassi Media regroupant les sites, Le Journal du Numérique, Actu-Gamer, ZoneWP et Journal-Foot.com. Autodidacte de nature, je me forme régulièrement dans le Marketing Digital, la gestion de projet, de même que dans ce qui touche au Community Management, au Developpement Web. Cela fait maintenant 15 sur le web, avec plus 10 ans d'expérience dans le rédaction web, Community Management, le webmastering et le SEO (Référencement naturel).