Le rapport intitulé « Decade of the RATs : Cross-Platform APT Espionage Attacks Targeting Linux, Windows and Android », livre un aperçu des opérations d’espionnage économique omniprésentes ciblant la propriété intellectuelle, sujet au cœur de plus de 1000 enquêtes ouvertes réparties dans les 56 bureaux du FBI selon le ministère de la justice américain.

De plus, l’aspect multiplateforme de ces attaques est particulièrement préoccupant compte tenu des problèmes de sécurité posés par l’augmentation soudaine du nombre de télétravailleurs. Les outils d’attaque contemporains sont d’ores et déjà utilisés afin de tirer parti des failles liées au travail à domicile mais aussi des équipes sur site en charge de la sécurité des systèmes critiques réduites. Alors que la majorité de la main-d’œuvre a quitté le bureau dans le cadre des efforts de confinement en réponse à l’épidémie de COVID-19, la propriété intellectuelle reste dans les centres de données d’entreprise, dont la plupart fonctionnent sous Linux.

Linux gère la quasi-totalité du million de sites web les plus populaires, 75% de tous les serveurs Web, 98% des supercalculateurs mondiaux et 75% des principaux fournisseurs de services cloud (Netcraft, 2019, Linux Foundation, 2020). La plupart des grandes entreprises s’appuient sur Linux pour faire fonctionner leurs sites web, le réseau proxy et stocker des données de valeur. Le rapport BlackBerry examine comment les APT ont tiré parti de la nature « always on, always available » des serveurs Linux et l’ont utilisé comme une brèche commune leur permettant d’attaquer un large éventail de cibles.

« Linux n’est généralement pas directement accessible par les utilisateurs. La plupart des sociétés de sécurité concentrent leurs efforts d’ingénierie et de marketing sur les produits conçus pour le front office plutôt que sur les racks de serveurs. La visibilité sur le système Linux est donc limitée », a déclaré Eric Cornelius Chief Product Architect chez BlackBerry. « Ces groupes APT se sont concentrés sur cette faille de sécurité et l’ont utilisée à leur avantage afin d’usurper la propriété intellectuelle des secteurs ciblés, et ce pendant des années et sans que personne ne s’en aperçoive. »

Les autres conclusions clés du rapport sont les suivantes :

• Les groupes APT examinés dans ce rapport sont probablement constitués de civils travaillant dans l’intérêt du gouvernement chinois. Ceux-ci partageraient facilement entre eux et avec leurs homologues gouvernementaux, des outils, des techniques, des infrastructures ainsi que les informations obtenues.

• Les groupes APT ont chacun poursuivi différents objectifs et se sont concentrés sur un large éventail de cibles. Cependant, ces groupes semblent fortement coordonnés en particulier en ce qui concerne le ciblage des plateformes Linux.

• Le rapport identifie deux nouvelles catégories de logiciels malveillants Android, faisant écho à une tendance déjà observée dans un précédent rapport de BlackBerry[1]. Ce même rapport explique comment les groupes APT ont exploité les logiciels malveillants mobiles, en combinaison avec les logiciels malveillants de bureau traditionnels, dans les campagnes de surveillance et d’espionnage multiplateformes en cours.

• L’un des exemples de logiciels malveillants Android ressemble de très près au code d’un outil de test d’intrusion disponible dans le commerce. Cependant, le logiciel malveillant semble avoir été créé près de deux ans avant le lancement de l’outil commercial.

• Le rapport examine plusieurs nouvelles variantes de logiciels malveillants bien connus, réussissant à passer outre les défenses de réseaux grâce aux certificats de signature de code des logiciels publicitaires. Les hackers utiliseraient cette tactique pour améliorer le taux d’infection, notamment car les signaux d’alarme sont considérés comme un simple écart dans un flux global d’alertes publicitaires.

• Le rapport met également en évidence le fait que les attaquants tendent à utiliser les fournisseurs de services cloud pour les communications de commande et de contrôle (C2) et d’exfiltration de données qui semblent être initialement un réseau de confiance.

« Ce rapport souligne que l’espionnage oriente désormais ses efforts vers l’infrastructure réseau, véritable épine dorsale des grandes entreprises. Cette tendance est beaucoup plus répandue qu’auparavant », explique John McClurg, Chief Information Security Officer chez BlackBerry. « Ce rapport ouvre un autre chapitre de l’histoire du vol de propriété intellectuelle en Chine, nous offrant de nouveaux apprentissages. »