SDBR News: Pensez-vous qu’il y ait eu une recrudescence de l’activité du groupe APT42 avec la guerre en Ukraine?

David Grout: Ce qu’on voit en ce moment, c’est une prépondérance géopolitique de plus en plus forte sur les attaques cyber et leur attribution géopolitique est de plus en plus prégnante : que ce soit sur la Russie, la Corée du Nord, l’Iran ou la Chine. La Cyber fait partie de la politique et de la stratégie de ces États, l’Iran notamment lorsqu’on parle d’APT42. L’Iran a toujours utilisé l’outil cyber de manière relativement forte, notamment vis-à-vis de ses dissidents mais aussi dans sa capacité à aller chercher de l’information à l’extérieur de ses frontières : vol de propriété intellectuelle, amélioration de capacités et de compétences, etc. Au-delà de l’impact visible et immédiat des ransomwares qui touchent les citoyens, il ne faut pas sous-estimer l’action furtive et sur le long terme des groupes APT : influence informationnelle, récupération d’information, etc.

SDBR News : Avec du virus dormant ?

David Grout : Oui potentiellement du dormant, même si on le constate moins avec le groupe APT42 qu’avec d’autres groupes : par exemple, les groupes russophones. Dans le conflit ukrainien, les groupes russes étaient déjà présents dans le spectre cyber depuis plusieurs mois et prépositionnés en amont du déclenchement physique des hostilités. De même, les Chinois ont été très actifs sur le long terme pour le vol de données informationnelles. Donc il y a une dichotomie de temporalité entre les actes qui vont vite et sont visibles instantanément, et les groupes APT qui ont des objectifs à long-terme avec des objectifs de récupération d’informations, de propriété intellectuelle ou d’anticipation de prise de décisions. En matière de géopolitique, l’un des objectifs des groupes APT est de pouvoir anticiper les prises de décisions de leurs adversaires. C’est ce qu’on observe dans les conflits armés actuels : comment pourraient réagir nos adversaires, quel est leur niveau et leurs plans d’escalade, etc. ?

SDBR News : Cela a t’il fonctionné ou pas dans le conflit russo-ukrainien ?

David Grout : Personne ne sait en fait si cela a fonctionné ou non, à part les Russes bien sûr. Sur les 90 jours de démarrage du conflit, l’impact cyber a été réel : déstabilisation de la capacité de l’Ukraine à mettre en place ses défenses et à gérer sa logistique. Notre vision européenne est faussée car il n’y a pas eu ou très peu d’impact cyber réel à l’extérieur du conflit, à l’exception des Anonymous ou du groupe russophone Killnet. Il n’y a pas eu de crash cyber en dehors de l’Ukraine. Par contre, sur la zone de conflit, les Russes sont extrêmement actifs coté cyber. Mais, comme on l’a vu récemment, deux missiles sur une centrale électrique sont bien plus impactants qu’un implant cyber, même si nous avons pu constater, dans les premiers mois de l’année 2022, huit fois plus de charges malveillantes à capacités destructrices que ce qui avait été constaté dans les années précédentes. Les impacts cyber ont été un peu minimisés par les impacts forts de la guerre classique sur le terrain. Le terrain cyber a donc été très actif, même si nous avons le sentiment que les Russes ne voulaient pas tout détruire à l’aide du Cyber pour pouvoir reprendre la main sur certaines infrastructures critiques.

SDBR News : Est-ce que le terrain cyber est encore aussi actif ?

David Grout : A partir du mois de juin et jusqu’à fin août, l’activité cyber a été récurrente mais beaucoup moins forte. Par contre, à partir du mois de septembre nous avons constaté un retour aux affaires cyber des Russes qui s’est aussi confirmé sur le terrain. Nous constatons donc une corrélation entre le terrain et les activités cyber.

SDBR News : Nous parlons beaucoup des actions russes. Les Ukrainiens sont-ils donc inactifs en matière cyber ?

David Grout : Le problème, c’est que les Ukrainiens ont des capacités à viser des pays dans lesquels les Européens et les Américains sont incapables d’aller investiguer ce qui s’y passe réellement : c’est un sujet sur lequel nous n’avons pas d’éléments factuels. Aujourd’hui nous savons ce que fait la Russie sur ce théâtre. Mais que fait l’Ukraine sur la Russie en matière Cyber ? Personne, à part les Russes, n’en sait rien. Si nous n’avons pas de données holistiques de ce cyber-conflit, nous ne pouvons en avoir qu’une appréciation biaisée et c’est bien le problème. En outre, est-ce que ce qui nous est dit est une partie ou l’entièreté de ce qui se voit ? Peu d’entreprises de réponses à incidents interviennent réellement sur ce terrain…

SDBR News : Sur cette vue partielle du conflit, qu’observez-vous comme mode opératoire?

David Grout : Des modes opératoires très classiques. Des modes peu compliqués techniquement mais ayant un impact sur le citoyen et sur la communication du gouvernement ukrainien : DDoS, fuites d’information, communications de type Anonymous, etc. Nous sommes plutôt en présence de lutte d’influence et de mise en pression, plus que sur une réalité technique de montée en pression. Ensuite, nous avons constaté des techniques d’approche assez classiques par la réutilisation de comptes, par le phishing, par l’attaque d’une entité pour ensuite utiliser ses identités pour attaquer un tiers, ou par la pénétration physique (en se connectant à partir de services administratifs envahis, par exemple), etc. L’Ukraine a donc eu à définir quelles étaient les machines non dignes de confiance, dans des bâtiments situés dans des zones envahies, pour pouvoir les débrancher du réseau: c’est un éclairage nouveau, bien que basique, qui nous a été donné au travers de ces actions sur le terrain. Pour autant nous n’avons pas observé des techniques très complexes qui n’auraient été utilisées nulle part auparavant, comme des « zero day », mais plutôt l’utilisation de techniques bien connues et bien rodées dans une temporalité de guerre: utilisation de vulnérabilités non patchées, utilisation d’accès sur des vieux systèmes, pénétration physique, phishing, etc.

SDBR News : Mandiant*se prévaut de pouvoir fournir une aide à la cyber-résilience. Que voulez-vous dire?

David Grout : Nous sommes aujourd’hui capables d’accompagner nos clients sur deux volets :

• L’amélioration de la détection et de la protection à travers du renseignement et de l’accompagnement technique pour réduire la surface d’attaque potentielle, donc réduire le risque potentiel d’être attaqué.

• La résilience : c’est à dire l’accompagnement à ce qui est vitesse et capacité de réaction.

Nous sommes persuadés que, même avec le meilleur réseau qui soit, la capacité de protection à 100% n’existe pas. Donc les deux moyens concomitants de protection sont d’une part de réduire la surface d’attaque et le risque par l’amélioration de ses capacités, et d’autre part d’augmenter sa capacité de réaction le jour où cela vous arrive. C’est pourquoi nous travaillons beaucoup avec nos clients sur l’augmentation de leur capacité de réaction : combien de temps pour réagir et prendre les bonnes décisions, combien de temps pour remonter une bonne infrastructure tombée complètement ? Dans l’industrie c’est un vrai sujet, avec la constitution d’équipes « ransomware resilience team » qui travaillent sur la remédiation et le temps nécessaire à remonter un système informatique totalement tombé.

SDBR News : Quels sont les projets de Mandiant en 2023?

David Grout : Les grandes trajectoires sont toujours les mêmes, à savoir étendre notre capacité agnostique pour pouvoir travailler avec de multiples partenaires et alliances technologiques. L’expertise et l’intelligence que nous proposons sont des éléments qui permettront à nos partenaires (Crowdstrike, Sentinel One par exemple) d’améliorer leurs propres compétences. Notre objectif reste de réduire le temps de persistance de l’attaquant chez nos clients, d’améliorer le niveau de détection et de protection, et de mesurer l’efficacité de leur sécurité.

* https://www.mandiant.fr      

L’interview a été réalisée lors des Assises de la Cybersécurité qui se sont tenues à Monaco