C’est un excellent exemple de cyber-intelligence que publie aujourd’hui la société Mandiant. Dans un rapport de 76 pages (plus 3000 indicateurs en appendice), la société offre une analyse méticuleuse de l’activité d’un groupe de pirates qu’elle a baptisé APT1 et qu’elle estime être la plus importante unité de cyber-espionnage de l’armée chinoise. Le rapport détaille ses objectifs, ses techniques, ses procédures et ses capacités, et va même jusqu’à tenter de profiler trois des opérateurs derrière le clavier (avec, excusez du peu, une capture d’écran de la boîte email d’un attaquant !). Pour cela, la société a analysé les attaques menées auprès de 150 entreprises sur une période de sept années.

Mandiant s’estime en mesure d’affirmer que APT1 est très certainement l’unité 61398 de l’armée chinoise (en anglais dans le texte : People’s Liberation Army Unit 61398, 2nd Bureau of the People’s Liberation army General staff Department’s 3rd Department). Selon le rapport cette unité recruterait avant tout des personnels bilingues anglais spécialisés dans les domaines de la sécurité informatique et des réseaux.

Mandiant a pu remonter toutes les attaques du groupe APT1 à quatre réseaux principaux situés à Shangaï, où est basée l’unité 61398. Dont deux situés précisément dans le district de Pudong où l’unité a son siège (et où China Telecom fait aboutir une fibre optique Internet « Défense Nationale » qui lui est réservée). A noter que au delà des attaques informatiques étudiées le rapport offre une analyse intéressante de cette unité (localisation géographique, critères de recrutement, etc…), basée sur des informations ouvertes (dont des copies de documents de China Telecom) et quelques recoupements.

La plupart des victimes des piratages d’APT1 (87%) sont des sociétés dont le siège est basé dans un pays de langue anglaise, et toutes sont actives dans des domaines identifiés comme stratégiques par la Chine (quatre sur sept sont d’ailleurs mentionnées comme tel dans le Plan du pays).

Si toutefois l’attribution militaire reste sujette à discussion, l’origine chinoise semble établie : 97% des systèmes utilisés dans le cadre d’intrusions observées par Mandiant étaient notamment configurés pour l’affichage de caractères chinois simplifiés, et 98% des adresses IP étaient attribuées en Chine.

Par ailleurs l’activité de ce groupe est telle que selon Mandiant il ne pourrait opérer sans le soutien d’un gouvernement. Jugez-en plutôt : sur la seule base des informations observées par l’éditeur, APT1 aurait dérobé des centaines de terabits d’information dans au moins 150 entreprises, et ceci durant plusieurs années (au moins depuis 2006). Le groupe a en outre été observé mettant en oeuvre au moins 937 serveurs de Command & Control, sur 849 adresses IP dans 13 pays (majoritairement en Chine et aux Etats-Unis). Son infrastructure est estimée à 1000 serveurs.

Le groupe travaille en outre dans la durée : le temps moyen de maintien dans les systèmes compromis est de près d’un an (356 jours exactement). Le plus long est de presque cinq ans (1764 jours). Dans un cas particulier, APT1 a dérobé 6,5 terabits d’information à une victime sur une période de dix mois à peine.

A quoi peut donc bien servir toute cette masse d’information volée ? Il est bien entendu impossible de l’affirmer avec certitude. Mais le rapport mentionne un exemple intéressant. Il cite le cas d’une entreprise compromise par ce même groupe en 2008. Les pirates ont eu accès à son réseau et à ses systèmes pendant deux ans et demi, durant lesquels ils ont notamment installé un outil chargé d’archiver et d’exfiltrer le contenu des boîtes de courrier électronique. Ils lisaient ainsi régulièrement les emails de la Direction Générale et du comité de direction. Durant cette même période on apprenait que la Chine venait d’obtenir de cette même entreprise une augmentation significative du prix d’achat d’une matière première essentielle à son fonctionnement.

Sur le plan technique, l’approche d’APT1 est très classique : reconnaissance, infection initiale, prise de contrôle, augmentation de privilèges, mouvements latéraux au sein du système… Le rapport décrit toutefois certains outils mis en oeuvre, dont certains inédits (notamment pour la capture des emails).

Plus intéressant pour les RSSI et leurs équipes, l’appendice du rapport (téléchargeable à part) offre 3000 indicateurs de compromission, contrôles et détails au sujet des codes malveillants utilisés par APT1. Cette partie là vaut à elle seule son pesant d’or…

Le rapport de Mandiant va probablement faire grand bruit dans la communauté. L’éditeur reconnaît avoir hésité à le publier : d’abord parce qu’il révèle une grande partie de sa matière première, de ce qu’il vend précisément à ses clients. Et puis surtout parce que Mandiant s’attend désormais à des représailles de la part de cet APT1 et à de fortes critiques de la part de la communauté (edit : c’est d’ailleurs déjà le cas ici, avec des arguments très valables). C’est probablement vrai. Mais il n’en demeure pas moins un travail remarquable et une lecture hautement conseillée !

Plus d’information : 

Télécharger le rapport et ses appendices (en anglais, PDF)