Les cybercriminels courants sont une menace, cela ne fait aucun doute – des pirates de chambre aux groupes de rançongiciels, les cybercriminels causent beaucoup de dégâts. Mais les outils utilisés et la menace posée par les cybercriminels ordinaires sont pâles par rapport aux outils utilisés par des groupes plus professionnels tels que les célèbres groupes de piratage et les groupes parrainés par l’État.

En fait, ces outils peuvent s’avérer presque impossibles à détecter – et à éviter. BVP47 en est un bon exemple. Dans cet article, nous expliquerons comment ce puissant logiciel malveillant parrainé par l’État circule discrètement depuis des années, comment il se déguise si intelligemment et expliquerons ce que cela signifie pour la cybersécurité dans l’entreprise.

Histoire de fond derrière BVP47

C’est une longue histoire, digne d’un roman d’espionnage. Plus tôt cette année, un groupe de recherche chinois sur la cybersécurité appelé Pangu Lab a publié un rapport approfondi de 56 pages couvrant un morceau de code malveillant que le groupe de recherche a décidé d’appeler BVP47 (parce que BVP était la chaîne la plus courante dans le code, et 47 étant donné que l’algorithme de chiffrement utilise la valeur numérique 0x47).

Le rapport est vraiment détaillé avec une explication technique approfondie, y compris une plongée en profondeur dans le code du malware. Il révèle que Pangu Lab a initialement trouvé le code lors d’une enquête de 2013 sur l’état de la sécurité informatique dans une organisation qui était très probablement un département du gouvernement chinois – mais pourquoi le groupe a attendu jusqu’à maintenant pour publier le rapport n’est pas indiqué.

En tant que facteur clé, le rapport relie BVP47 au “groupe d’équations”, qui à son tour a été lié à l’unité des opérations d’accès sur mesure de l’Agence de sécurité nationale des États-Unis (la NSA). Pangu Lab est arrivé à cette conclusion car il a trouvé une clé privée qui pourrait déclencher BVP47 dans un ensemble de fichiers publiés par le groupe The Shadow Brokers (TSB). Le TSB a attribué ce vidage de fichier au groupe d’équations, ce qui nous ramène à la NSA. Vous ne pouviez tout simplement pas l’inventer, et c’est une histoire digne d’un film cinématographique.

Comment fonctionne BVP47 en pratique ?

Mais assez parlé de l’élément espion contre espion de l’histoire. Que signifie BVP47 pour la cybersécurité ? Essentiellement, cela fonctionne comme une porte dérobée très intelligente et très bien cachée dans le système de réseau cible, ce qui permet à la partie qui l’exploite d’obtenir un accès non autorisé aux données – et de le faire sans être détecté.

L’outil a quelques astuces très sophistiquées dans sa manche, reposant en partie sur l’exploitation d’un comportement que la plupart des administrateurs système ne rechercheraient pas – simplement parce que personne ne pensait qu’un outil technologique se comporterait comme ça. Il commence son chemin infectieux en mettant en place un canal de communication secret dans un endroit où personne ne penserait à regarder : les paquets TCP SYN.

Dans une tournure particulièrement insidieuse, BVP47 a la capacité d’écouter sur le même port réseau utilisé par d’autres services, ce qui est très difficile à faire. En d’autres termes, il peut être extrêmement difficile à détecter car il est difficile de faire la différence entre un service standard utilisant un port et BVP47 utilisant ce port.

La difficulté à se défendre contre cette ligne d’attaque

Dans un autre tour encore, l’outil teste régulièrement l’environnement dans lequel il s’exécute et efface ses traces en cours de route, cachant ses propres processus et l’activité du réseau pour s’assurer qu’il ne reste aucune trace à trouver.

De plus, BVP47 utilise plusieurs méthodes de cryptage sur plusieurs couches de cryptage pour la communication et l’exfiltration de données. C’est typique des outils de premier plan utilisés par les groupes de menaces persistantes avancées, y compris les groupes parrainés par l’État.

Pris ensemble, cela équivaut à un comportement incroyablement sophistiqué qui peut échapper même aux défenses de cybersécurité les plus astucieuses. La combinaison la plus performante de pare-feu, de protection avancée contre les menaces, etc., peut toujours échouer à arrêter des outils tels que BVP47. Ces portes dérobées sont si puissantes en raison des ressources que les acteurs étatiques aux poches profondes peuvent consacrer à leur développement.

Comme toujours, la bonne pratique est votre meilleur pari

Cela ne signifie pas, bien sûr, que les équipes de cybersécurité doivent simplement se retourner et abandonner. Il existe une série d’activités qui peuvent rendre, à tout le moins, plus difficile pour un acteur le déploiement d’un outil tel que BVP47. Les activités de sensibilisation et de détection valent la peine d’être poursuivies, car une surveillance étroite peut encore détecter un intrus à distance. De même, les pots de miel peuvent attirer les attaquants vers une cible inoffensive – où ils pourraient bien se révéler.

Cependant, il existe une approche simple, basée sur les premiers principes, qui offre une énorme protection. Même des outils sophistiqués tels que BVP47 s’appuient sur des logiciels non corrigés pour s’implanter. Patcher constamment le système d’exploitation et les applications dont vous dépendez est donc votre tout premier port d’escale.

Le fait d’appliquer un patch en soi n’est pas l’étape la plus difficile à franchir, mais comme nous le savons, appliquer rapidement un patch à chaque fois est une chose avec laquelle la plupart des organisations ont du mal.

Et bien sûr, c’est exactement ce sur quoi les acteurs de la menace tels que l’équipe derrière BVP47 s’appuient, alors qu’ils mentent et attendent leur cible, qui aurait inévitablement trop de ressources pour appliquer des correctifs de manière cohérente, manquant finalement un correctif critique.

Que peuvent faire les équipes sous pression ? Correctif automatisé en direct est une solution car elle supprime le besoin de patcher manuellement – et élimine les redémarrages chronophages et les temps d’arrêt associés. Lorsque l’application de correctifs en direct n’est pas possible, l’analyse des vulnérabilités peut être utilisée pour mettre en évidence les correctifs les plus critiques.

Pas le premier – et pas le dernier

Des rapports approfondis comme celui-ci sont importants pour nous aider à rester conscients des menaces critiques. Mais BVP47 était en jeu depuis des années et des années avant ce rapport public, et d’innombrables systèmes ont été attaqués entre-temps, y compris des cibles très médiatisées dans le monde entier.

Nous ne savons pas combien d’outils similaires existent – tout ce que nous savons, c’est ce que nous devons faire pour maintenir une posture de cybersécurité toujours solide : surveiller, distraire et corriger. Même si les équipes ne peuvent pas atténuer toutes les menaces, elles peuvent au moins mettre en place une défense efficace, ce qui rend aussi difficile que possible l’exploitation réussie des logiciels malveillants.



ttn-fr-57