Recherche sur les menaces

APT40 : gros plan sur un groupe d'espions à la solde de Pékin

FireEye fait ici le point sur APT40, une cellule de cyberespionnage chargée d'effectuer des actions de renseignement et de faire main basse sur des secrets technologiques stratégiques sur ordre du régime chinois. Depuis au moins 2013, le groupe multiplie les opérations visant à accélérer la modernisation de la flotte de guerre de l'empire du Milieu. Ses agents s'intéressent principalement aux domaines de l'ingénierie, du transport et de la défense en relation avec les technologies navales. Plus récemment, nous avons remarqué une intensification des opérations à l'encontre de pays impliqués dans le projet de nouvelle route de la soie cher au régime, notamment la Belgique, l'Allemagne, la Suisse, le Royaume-Uni, les États-Unis, la Norvège, le Cambodge, Hong-Kong, les Philippines, la Malaisie et l'Arabie saoudite. Cette cellule de cyberespionnage des services chinois était auparavant connue sous les noms de TEMP.Periscope et TEMP.Jumper.

Mission

En décembre 2016, la Marine chinoise (Marine de l’Armée populaire de libération) capturait une sonde sous-marine de la US Navy en mer de Chine méridionale. Cette attitude belliqueuse n'a pas tardé à s'étendre à la cybersphère. En l'espace d'un an, APT40 se faisait passer pour un constructeur de sondes sous-marines auprès de centres de recherches universitaires spécialisés dans les affaires navales. Et ce n'est là qu'un exemple des actions menées par le groupe pour acquérir des technologies visant à muscler la puissance navale de la Chine. Pour nous, il paraît évident que l'intérêt d'APT40 pour les technologies et problématiques navales fait écho aux ambitions de la Chine dans ce domaine.

En parallèle, APT40 mène des opérations de renseignement contre des cibles plus traditionnelles, notamment des entreprises opérant en Asie du Sud-Est ou impliquées dans des querelles territoriales en mer de Chine méridionale. Récemment, on a pu observer la main d'APT 40 lors de tentatives d'influence d'élections en Asie du Sud-Est, probablement en réaction aux tensions que suscite la nouvelle route de la soie. Aussi appelé "la Ceinture et la Route", ou "One Belt, One Road" en anglais (一带一路), ce projet à 1 000 milliards de dollars vise à établir des liaisons commerciales maritimes et terrestres à travers l'Asie, l'Europe, le Moyen-Orient et l'Afrique dans le but d'élargir l'influence de la Chine dans le monde.


Figure 1 : Pays et secteurs ciblés. Parmi les pays dans le ligne de mire de Pékin, on retrouve les États-Unis, le Royaume-Uni, l'Allemagne, la Norvège, l'Arabie saoudite, le Cambodge et l'Indonésie.

Responsabilité présumée

C'est avec une relative certitude que nous associons les opérations de cyberespionnage d'APT40 à la Chine. Outre des actions en tous points conformes aux intérêts du régime, de nombreux éléments de preuve viennent appuyer la thèse d'une cellule opérant depuis le territoire chinois. L'analyse des périodes d'activité d'APT40 révèlent en effet une concordance avec le fuseau horaire de la Chine (UTC +8). En outre, plusieurs domaines de commande et contrôle (C2) utilisés par APT40 ont à l'origine été enregistrés par des revendeurs basés en Chine. Les enregistrements Whois de ces domaines contenaient des informations de géolocalisation chinoise, renvoyant de toute évidence à un processus d'approvisionnement d'une infrastructure agissant sur ordre de Pékin.

APT40 a également utilisé diverses adresses IP situées en Chine pour mener ses opérations. Un fichier journal (log) récupéré sur un serveur d'indexation a ainsi permis de localiser l'adresse IP utilisée pour administrer le nœud de commande et contrôle servant de point de contact aux malwares injectés dans les machines. Verdict : elle provenait d'Hainan, une île chinoise (112.66.188.28). En plus de cela, tous les identifiants du serveur C2 renvoyaient à des ordinateurs configurés en langue chinoise.

Cycle d'une attaque

Compromission initiale

APT40 emploie diverses techniques pour opérer la compromission initiale : exploitation d'un serveur web, campagnes de phishing avec backdoors personnalisées ou disponibles dans le domaine public, compromissions de sites web stratégiques...

  • ATP40 s'en remet principalement aux web shells pour s'implanter sur le réseau de ses victimes. Selon leur emplacement, ces shells peuvent fournir un accès continu aux environnements infiltrés, réinfecter des systèmes ou encore faciliter les mouvements latéraux.
  • Les e-mails de spear-phishing du groupe contiennent généralement des pièces jointes malveillantes, bien que des liens Google Drive aient également été observés.
  • D'une manière plus générale, les opérations de phishing d'APT40 tendent à exploiter des vulnérabilités dans les jours qui suivent leur découverte. Quelques exemples de failles observées :


Figure 2 : cycle d’attaque d’APT40

Implantation

Pour s'implanter dans les environnements infiltrés, APT40 fait appel à toute une variété d'outils et de malwares dont la plupart se trouvent dans le domaine public ou sont utilisés par d'autres acteurs. On l'a aussi vu utiliser des fichiers exécutables garantis par des certificats de signature de code pour échapper à toute détection.

  • Les backdoors de premier niveau telles que AIRBREAK, FRESHAIR, et BEACON sont utilisées avant le téléchargement d'autres payloads.
  • D'après nos observations, PHOTO, BADFLICK et CHINA CHOPPER font partie des backdoors de prédilection d'APT40.
  • Sa méthode consiste souvent à mettre la main sur des identifiants de VPN ou de postes de travail distants pour s'implanter dans l'environnement cible. Un choix qui s'avère payant, puisqu'une fois ces identifiants obtenus, le groupe est moins dépendant du malware pour poursuivre sa mission.

Escalade des privilèges

APT40 allie des outils de collecte d'identifiants personnalisés et du domaine public pour escalader des privilèges et craquer les hash des mots de passe.

  • Le groupe recourt à des outils personnalisés de type HOMEFRY, un craqueur de mot de passe utilisé en complément des backdoors AIRBREAK et BADFLICK.
  • L'utilitaire Windows Sysinternals ProcDump et Windows Credential Editor (WCE) semblent, eux aussi, faire partie de la panoplie d'outils d'intrusion.

Reconnaissance interne

APT40 utilise des identifiants dérobés pour mener des opérations de reconnaissance sur d'autres systèmes connectés. Le groupe détourne également les connexions RDP et SSH, les logiciels légitimes de l'environnement infiltré, diverses fonctionnalités natives de Windows, des outils du domaine public, ou encore des scripts personnalisés.

  • APT40 a utilisé MURKYSHELL au sein d'un environnement compromis pour lancer un scan de ports d'adresses IP et effectuer une énumération réseau.
  • Ses agents font régulièrement appel à des commandes Windows natives, telles que net.exe, pour mener des opérations de reconnaissance.
  • Les web shells constituent quant à eux un élément essentiel de pratiquement toutes les phases du cycle d’attaque. Bien souvent, les serveurs web sont moins protégés que ceux ouverts au public, ce qui les rend plus vulnérables aux exploits perpétrés par APT40 et d'autres groupes du même acabit.

Déplacement latéral

APT40 utilise diverses méthodes pour se déplacer latéralement dans l'environnement, y compris des scripts personnalisés, des web shells, des tunnelers de toutes sortes, ou encore des protocoles RDP (Remote Desktop Protocol). À chaque nouvelle compromission, le groupe exécute des malwares, mène des opérations de reconnaissance et subtilise des données.

  • APT40 recourt à des outils Windows natifs de type at.exe (planificateur de tâches) et net.exe (gestionnaire de ressources réseau) pour ses mouvements latéraux.
  • Des outils de tunnelisation du domaine public sont aussi utilisés en complément de malwares spécifiques à l'opération.
  • MURKYTOP peut parfois servir aux déplacements latéraux, bien que la vocation principale de cet outil de ligne de commande soit la reconnaissance.
  • Enfin, APT40 emploie des outils de force brute du domaine public et un outil personnalisé du nom de DISHCLOTH pour attaquer différents services et protocoles.

Maintien d'une présence

Pour asseoir sa présence dans un environnement compromis, APT40 fait principalement appel à des backdoors et autres web shells. Ces outils lui offrent un contrôle continu des systèmes clés du réseau ciblé.

  • APT40 privilégie très largement les web shells pour maintenir sa présence, plus particulièrement les outils disponibles dans le domaine public.
  • Les outils utilisés lors de la phase d'implantation (AIRBREAK, PHOTO...) continuent à jouer un rôle dans le maintien de la présence.
  • Certains outils de malwares d'APT40 peuvent contourner des techniques de détection réseau répandues en établissant les premières communications C2 via des sites web légitimes (GitHub, Google, Pastebin).
  • Les ports TCP communs 80 et 443 permettent au groupe de se fondre dans le trafic réseau courant.

Accomplissement de la mission

Pour accomplir une mission, il faut généralement rassembler et transférer des informations hors du réseau ciblé. Une tâche qui pourra faire passer les fichiers par une multitude de systèmes avant d'atteindre leur destination finale. APT40 consolide les fichiers dérobés puis utilise l'outil d'archivage rar.exe pour compresser et chiffrer les données avant leur exfiltration. D'après nos observations, APT40 développerait aussi des outils tels que PAPERBUSH pour faciliter le ciblage et le vol des données.

Perspectives et répercussions

Bien que ses agissements ne soient plus un secret pour personne, APT40 ne semble pas avoir ralenti la cadence de ses opérations de cyberespionnage. Nous ne voyons donc aucune raison pour que cela change à court comme à moyen terme. Au vu de ses tentatives d'influences de diverses élections en 2017, tout porte à croire qu'APT40 ne se limitera bientôt plus au maritime et agira là où les intérêts de la Chine sont en jeu, notamment pour la nouvelle route de la soie. Les adversaires et opposants régionaux à ce projet seront donc les premiers visés.