Moonlight Maze – Entre mythe et réalité

0
145

Nous assistons aujourd’hui à de nombreuses discussions et débats dans la communauté des experts en cybersécurité concernant les APT (Advanced Persistent Threats), un sujet controversé et toujours actuel. Certains pensent que leur apparition est due à une farce médiatique qui vise à surévaluer l’impact réel des cyberattaques, tandis que d’autres restent de vrais croyants. Ces deux parties tentent de saper la crédibilité l’un de l’autre, ce qui rend parfois la définition d’un « APT » difficile.

Article ITrust – Il y a deux semaines, un nouvel “artefact” a été révélé ayant pour but de renforcer l’existence des menaces persistantes avancées.

Moonlight Maze : une odyssée de 20 ans

À la fin des années 1990, le journal anglais The Sunday Times publie un article sur le piratage des milliers de documents sensibles appartenant aux États-Unis. Les seules informations publiques disponibles accusent ouvertement les hackers russes d’avoir volé des données concernant les technologies militaires américaines. Baptisée “Moonlight Maze“, l’opération fait l’objet d’une enquête non concluante dans l’absence de résultats probants.

Selon le livre de Thomas Rid, cette cyberattaque n’est pas un cas isolé, même si l’on croyait au début. En effet, ses recherches ont mené Rid à dévoiler un lien entre Moonlight Maze et un autre groupe de cybercriminels russes actif depuis 2007, Turla. Mieux connu pour son piratage contre le Département de la Défense des États-Unis, Turla est considéré responsable de la « pire intrusion historique contre des ordinateurs militaires américains ».

À la lumière de ces nouvelles preuves, Moonlight Maze se remarque comme un des plus anciens APT (vous pouvez consulter notre historique des APT ici). Ce dernier dépasse également le groupe Equation parrainé par la NSA et bat tous les records en ce qui concerne sa durée de persistance – plus de 20 ans.

Pour mieux saisir la situation, il faudra faire un petit voyage dans le passé. En 1998, un technicien chez ATI-Corp découvre une connexion établie le dimanche à 3 heures du matin depuis son système informatique vers une base des forces aériennes américaines. Lorsque le propriétaire du compte affirme ne pas avoir été connecté à ce moment-là, l’incident est remonté aux équipes CERT (Computer Emergency Response Team).

En menant sa propre enquête, l’armée de l’air américaine constate qu’elle avait reçu plusieurs connexions provenant d’endroits différents, principalement des universités dans la région. Parmi la multitude des connexions locales, une connexion directe depuis une machine à Moscou se démarque. Une erreur de la part des attaquants qui suscite l’intérêt du FBI et dirige l’investigation vers la piste russe.

Entre temps, les cybercriminels continuent à cibler des institutions de recherche importants dans les États-Unis, le Royaume-Uni, le Canada et l’Allemagne. Le mode de fonctionnement est toujours le même : les attaquants passent par les proxy réseau mal-protégés des universités ou des PME afin de trouver des liens réseau avec leur cible. Cette méthode leur sert également en tant que moyen de camouflage, car un flux de trafic provenant d’une université est bien évidemment considéré comme étant plus légitime qu’un flux entrant originaire de la Russie.

Le retour d’un ancien backdoor

Peu de temps après la sortie de l’actualité dans la presse, les enquêtes marquent la fin du groupe Moonlight Maze. Dans son livre, Thomas Rid décrit le voyage des chercheurs en sécurité informatique dans la quête de cette cyber-menace vingt ans après sa disparition.

Les documents d’enquête étant classés secrètes par les forces d’ordre américaines, les chercheurs se voient obligés de retracer tous les points d’accès intermédiaires utilisés par les pirates informatiques. Ils arrivent à retrouver un seul serveur avec l’option de journalisation activé. Basé en Angleterre, le serveur avait gardé intacts tous les journaux (logs) de l’incident. Ceux-ci ont fourni aux chercheurs un bilan parfaitement détaillé des actions menées par le groupe cybercriminel Moonlight Maze.

Il est établi que les hackers responsables ont fait appel à des techniques avancées et que l’opération a été cordonnée à grand échelle. Toutefois, ce sont les échantillons de code retrouvés dans les logs qui ont le plus surpris car ils étaient identiques avec des programmes utilisés par d’autres groupes criminels de nos jours. En effet, la porte dérobée utilisée en 1998 par Moonlight Maze coïncide exactement à une porte dérobée utilisée par les hackers Turla en 2011 et 2017.

Plus étonnant encore nous paraît le fait que des logiciels malveillants établis il y a plus de deux décennies trouvent toujours des moyens à infiltrer les entreprises. Comment se fait-il qu’une cyberattaques utilisant du code archaïque peut contourner les outils actuels ? N’avons-nous rien appris de l’histoire ? Espérons que cette fois-ci la leçon n’est pas en vain. Sinon, la prochaine odyssée APT de vingt ans pourrait finir pire qu’une tragédie grecque.

 

Source : ITrust