MELANI dévoile les détails techniques de la cyberattaque contre Ruag

MELANI, la centrale fédérale pour la sûreté de l'information, a publié un rapport technique consacré au récent piratage de Ruag. Rappelons que l’affaire a éclaté suite aux révélations, début mai, de plusieurs medias alémaniques. La presse avait par la suite soupçonné que l’intrusion des hackers dans les systèmes de Ruag avait permis à ceux-ci d’avoir accès plusieurs dizaines de milliers d’informations sensibles. L’entreprise d’armement, qui appartient 100% à la Confédération, avait ensuite tenu à relativiser l’impact de la cyberattaque, précisant que les données volées représentaient moins de 0,01% du volume qu’elle gère.

Mouvement latéral et obtentions de privilèges élevés

Dans son rapport publié sur mandat du Conseil fédéral, MELANI commence par expliquer que les attaquants ont utilisé un maliciel de la famille Turla qui, est-il précisé, existe déjà depuis plusieurs années. Il apparaît en outre que les pirates ont fait preuve de beaucoup de patience pendant l’infiltration et les manœuvres suivantes. Les attaquants se sont uniquement focalisés sur les cibles qui les intéressaient, en recourant à diverses mesures (liste d’IP cibles et empreinte numérique complète avant et après l’infection initiale). «Après avoir pénétré dans le réseau, ils ont effectué du mouvement latéral en infectant d’autres dispositifs et en obtenant des privilèges plus élevés», nous renseigne le rapport, qui ajoute que l’une des principales cibles était l’Active Directory, afin de pouvoir contrôler d’autres appareils et accéder et utiliser les droits et appartenances de groupes ciblés.

Pour exfiltrer les données, les pirates ont utilisé l’HTTP. Les données étaient dirigées vers plusieurs couches de serveurs de commande et de contrôle (C&C). Au sein du réseau infecté, les pirates ont fait appel, pour leur communication interne, à des tubes nommés («named pipes»), «difficiles à détecter», précisent les experts de MELANI. La centrale pour la sûreté de l'information explique que ces tubes ont permis à des «drones de travail», chargés de voler les données, de transmettre ces dernières à des «drones de communication» communiquant avec l'extérieur.

Dès septembre 2014

En remontant dans les journaux proxy, les experts de MELANI ont constaté que l’infiltration avait déjà eu lieu en septembre 2014. Les premiers indices d’une attaque ont été fournis (par une société externe) en décembre 2015. Fin janvier, le Département de la défense a mis en place une task force. Après une phase décrite comme «intense» de réactions à l’incident, une surveillance a débuté en février. MELANI précise que cette surveillance a été rendue inutile suite aux fuites rapportées par la presse début mai.