Nous assistons aujourd’hui à de nombreuses discussions et débats dans la communauté des experts en cybersécurité concernant les APT (Advanced Persistent Threats), un sujet controversé et toujours actuel. Certains pensent que leur apparition est due à une farce médiatique qui vise à surévaluer l’impact réel des cyber-attaques, tandis que d’autres restent de vrais croyants. Ces deux parties tentent de saper la crédibilité l’un de l’autre, ce qui rend parfois la définition d’un « APT » difficile. Il y a deux semaines, un nouvel ‘artefact’ a été révélé ayant pour but de renforcer l’existence des menaces persistantes avancées.

1. Advanced Persistent Threats, entre mythe et réalité
Nous assistons aujourd’hui à de nombreuses discussions et débats dans la communauté des experts en
cybersécurité concernant les APT (Advanced Persistent Threats), un sujet controversé et toujours actuel.
Certains pensent que leur apparition est due à une farce médiatique qui vise à surévaluer l’impact réel des
cyber-attaques, tandis que d’autres restent de vrais croyants. Ces deux parties tentent de saper la crédibilité
l’un de l’autre, ce qui rend parfois la définition d’un « APT » difficile.
Il y a deux semaines, un nouvel ‘artefact’ a été révélé ayant pour but de renforcer l’existence des menaces
persistantes avancées.
Moonlight Maze : une odyssée de 20 ans
À la fin des années 1990, le journal anglais The Sunday Times publie un article sur le piratage des milliers de
documents sensibles appartenant aux États-Unis. Les seules informations publiques disponibles accusent
ouvertement les hackers russes d’avoir volé des données concernant les technologies militaires américaines.
Baptisée ‘Moonlight Maze’, l’opération fait l’objet d’une enquête non concluante dans l’absence de résultats
probants.
Selon le livre de Thomas Rid, cette cyber-attaque n’est pas un cas isolé, même si l’on croyait au début. En
effet, ses recherches ont mené Rid à dévoiler un lien entre Moonlight Maze et un autre groupe de
cybercriminels russes actif depuis 2007, Turla. Mieux connu pour son piratage contre le Département de la
Défense des Etats-Unis, Turla est considéré responsable de la « pire intrusion historique contre des ordinateurs
militaires américains ».
À la lumière de ces nouvelles preuves, Moonlight Maze se remarque comme un des plus anciens APT (vous
pouvez consulter notre historique des APT ici). Ce dernier dépasse également le groupe Equation parrainé par
la NSA et bat tous les records en ce qui concerne sa durée de persistance – plus de 20 ans.
Pour mieux saisir la situation, il faudra faire un petit voyage dans le passé. En 1998, un technicien chez ATI-
Corp découvre une connexion établie le dimanche à 3 heures du matin depuis son système informatique vers
une base des forces aériennes américaines. Lorsque le propriétaire du compte affirme ne pas avoir été
connecté à ce moment-là, l’incident est remonté aux équipes CERT (Computer Emergency Response Team).
En menant sa propre enquête, l’armée de l’air américaine constate qu’elle avait reçu plusieurs connexions
provenant d’endroits différents, principalement des universités dans la région. Parmi la multitude des
connexions locales, une connexion directe depuis une machine à Moscou se démarque. Une erreur de la part
des attaquants qui suscite l’intérêt du FBI et dirige l’investigation vers la piste russe.
Entre temps, les cybercriminels continuent à cibler des institutions de recherche importants dans les États-Unis,
le Royaume-Uni, le Canada et l’Allemagne. Le mode de fonctionnement est toujours le même : les attaquants
passent par les proxy réseau mal-protégés des universités ou des PME afin de trouver des liens réseau avec
leur cible. Cette méthode leur sert également en tant que moyen de camouflage, car un flux de trafic
provenant d’une université est bien évidemment considéré comme étant plus légitime qu’un flux entrant
originaire de la Russie.

2. Le retour d’un ancien backdoor
Peu de temps après la sortie de l’actualité dans la presse, les enquêtes marquent la fin du groupe Moonlight
Maze. Dans son livre, Thomas Rid décrit le voyage des chercheurs en sécurité informatique dans la quête de
cette cyber-menace vingt ans après sa disparition.
Les documents d’enquête étant classés secrètes par les forces d’ordre américaines, les chercheurs se voient
obligés de retracer tous les points d’accès intermédiaires utilisés par les pirates informatiques. Ils arrivent à
retrouver un seul serveur avec l’option de journalisation activé. Basé en Angleterre, le serveur avait gardé
intacts tous les journaux (logs) de l’incident. Ceux-ci ont fourni aux chercheurs un bilan parfaitement détaillé
des actions menées par le groupe cybercriminel Moonlight Maze.
Il est établi que les hackers responsables ont fait appel à des techniques avancées et que l’opération a été
cordonnée à grand échelle. Toutefois, ce sont les échantillons de code retrouvés dans les logs qui ont le plus
surpris car ils étaient identiques avec des programmes utilisés par d’autres groupes criminels de nos jours. En
effet, la porte dérobée utilisée en 1998 par Moonlight Maze coïncide exactement à une porte dérobée utilisée
par les hackers Turla en 2011 et 2017.
Plus étonnant encore nous paraît le fait que des logiciels malveillants établis il y a plus de deux décennies
trouvent toujours des moyens à infiltrer les entreprises. Comment se fait-il qu’une cyber-attaques utilisant du
code archaïque peut contourner les outils actuels ? N’avons-nous rien appris de l’histoire ? Espérons que cette
fois-ci la leçon n’est pas en vain. Sinon, la prochaine odyssée APT de vingt ans pourrait finir pire qu’une
tragédie grecque.
Liens :
https://www.reveelium.com/fr/apt-myth-or-reality/
https://www.itrust.fr/apt-entre-mythe-et-realite/