Au sein de l'équipe Microsoft à la recherche des pirates les plus dangereux au monde

Conceptuel

Conceptuel Mme Tech / imagerie source : Unsplash, Wikimedia commons





Lorsque le Pentagone a récemment attribué à Microsoft un contrat de 10 milliards de dollars pour transformer et héberger les systèmes d'informatique en nuage de l'armée américaine, la montagne d'argent s'est accompagnée d'un défi implicite : Microsoft peut-il protéger les systèmes du Pentagone contre certains des systèmes les plus dotés en ressources, les plus persistants et les plus efficaces ? hackers sophistiqués sur terre ?

Ils sont attaqués à toute heure de la journée, explique James Lewis, vice-président du Center for Strategic and International Studies.

La dernière victoire de Microsoft sur son rival cloud Amazon pour le contrat militaire ultra-lucratif signifie qu'un appareil de collecte de renseignements parmi les plus importants au monde est basé dans les bois à l'extérieur de Seattle. Ces types de responsabilités en matière de sécurité nationale appartenaient autrefois presque exclusivement à Washington, DC. Maintenant, dans ce coin de l'État de Washington, des dizaines d'ingénieurs et d'analystes du renseignement se consacrent à surveiller et à arrêter les pirates informatiques parrainés par le gouvernement qui prolifèrent dans le monde.



Les membres de l'équipe dite du MSTIC (Microsoft Threat Intelligence Center) se concentrent sur les menaces : un groupe est responsable des pirates russes nommés Strontium, un autre surveille les pirates nord-coréens nommés Zinc, et un autre suit les pirates iraniens nommés Holmium. MSTIC suit plus de 70 groupes de menaces parrainés par le gouvernement et bien d'autres qui ne sont pas nommés.

La pluie a commencé juste avant mon arrivée un jour d'automne typique à Redmond, Washington. Il a continué à descendre pendant toute ma visite. Le siège social de Microsoft est aussi vaste et labyrinthique que n'importe quelle installation gouvernementale, avec des centaines de bâtiments et des milliers d'employés. Je venais rencontrer l'équipe Microsoft qui traque les pirates les plus dangereux au monde.

Attaque et défense

photographie de John Lambert

John Lambert a fondé et gère MSTIC. Microsoft



John Lambert travaille chez Microsoft depuis 2000, lorsqu'une nouvelle réalité en matière de cybersécurité s'est installée pour la première fois à Washington, DC, et au siège de Microsoft dans l'État de Washington.

Microsoft, alors une entreprise singulièrement puissante qui monopolisait les logiciels pour PC, n'avait réalisé que relativement récemment l'importance d'Internet. Alors que Windows XP a conquis le monde tout en restant terriblement peu sûr, l'équipe a été témoin d'une série d'échecs de sécurité énormes et embarrassants, y compris des vers auto-répliquants comme Code Red et Nimda. Les échecs ont affecté un grand nombre de clients gouvernementaux et privés de Microsoft, mettant en danger son activité principale. Ce n'est qu'en 2002, lorsque Bill Gates a envoyé son célèbre mémo exhortant à mettre l'accent sur une informatique fiable, que Redmond a finalement commencé à s'attaquer à l'importance de la cybersécurité.

C'est alors que Lambert est devenu fasciné par le côté offensif du cyber.



Il y a une perfection requise dans les limites de l'attaque et de la défense, m'a dit Lambert. Pour bien défendre, il faut être capable d'attaquer. Vous devez aussi avoir l'état d'esprit offensif; vous ne pouvez pas simplement penser à la défense si vous ne savez pas comment être créatif en attaque.

Après avoir vu le nombre de campagnes de piratage parrainées par le gouvernement augmenter, Lambert a utilisé cet état d'esprit offensif pour aider à conduire des changements fondamentaux dans la façon dont Microsoft a abordé le problème. L'objectif était de passer d'un monde d'ombre inconnaissable - où les équipes de défense regardent, frustrées, alors que des pirates sophistiqués pénètrent dans les réseaux avec de puissantes vulnérabilités du jour zéro - dans un domaine où Microsoft peut voir presque tout.

Quels sont les super pouvoirs de Microsoft ? Lambert se souvient avoir demandé.



La réponse est que son système d'exploitation Windows et d'autres logiciels sont presque partout, donnant à Microsoft les outils pour détecter ce qui se passe sur des pans colossaux d'Internet. Cela soulève des questions de confidentialité réelles et persistantes auxquelles nous ne nous sommes pas encore pleinement attaqués. Pour la sécurité, cependant, c'est un énorme avantage.

Les produits de Microsoft comportaient déjà des systèmes de rapport d'erreurs Windows intégrés pour essayer de comprendre les bogues et les dysfonctionnements généraux au moyen de la télémétrie ou de la collecte de données à partir de l'un des matériels ou logiciels de l'entreprise en cours d'utilisation. Mais ce sont Lambert et les équipes de sécurité qui ont transformé les systèmes de télémétrie en puissants outils de sécurité, transformant ce qui était autrefois une tâche lente et ardue. Auparavant, les équipes de sécurité devaient souvent parcourir le monde physiquement, trouver des machines ciblées spécifiques, copier leurs disques durs et se plonger lentement dans les incidents. Désormais, ces machines contactent simplement Microsoft. Pratiquement tous les plantages et comportements inattendus sont signalés à l'entreprise, qui trie la masse de données et, souvent, trouve les logiciels malveillants avant tout le monde.

Le logiciel malveillant connu sous le nom de Méchant lapin , qui en 2017 prétendait être une mise à jour d'Adobe Flash puis effaçait le disque dur d'une victime, cristallise comment Microsoft a transformé la faiblesse en force. Dans les 14 minutes suivant l'introduction du rançongiciel, des algorithmes d'apprentissage automatique ont reconstitué les données et ont rapidement commencé à comprendre la menace. Windows Defender a commencé à le bloquer automatiquement, bien avant qu'un humain ne sache ce qui se passait.

code malveillant de mauvais lapin

Bad Rabbit a été repéré principalement en Russie et en Ukraine en 2017. Voici la note de rançon que les victimes ont reçue. Image source : Kaspersky Labs

C'est ce que personne d'autre n'a : la visibilité et les données. Les données que personne d'autre ne possède concernent ces plantages d'application au niveau du système d'exploitation et de la couche logicielle, explique Jake Williams, ancien membre de la National Security Agency. Même pour les plantages de tiers, ils ont une télémétrie autour de ceux-ci. Lorsque vous commencez à regarder les cibles d'exploitation, Microsoft a la capacité grâce à leur télémétrie. Cette télémétrie a fait de chaque machine et produit Windows une source qui alimente les données et les journaux Microsoft, instantanément et dans le monde entier, sur tout ce qui est inhabituel.

Microsoft voit des choses que personne d'autre ne voit, dit Williams, qui a fondé la société de cybersécurité Rendition Infosec. Nous trouvons régulièrement des éléments, par exemple, comme des drapeaux pour les adresses IP malveillantes dans Office 365 que Microsoft signale, mais nous ne les voyons nulle part ailleurs pendant des mois.

Relier les points

Le renseignement sur les cybermenaces est la discipline qui consiste à suivre les adversaires, à suivre les miettes de pain et à produire des renseignements que vous pouvez utiliser pour aider votre équipe et rendre la vie de l'autre plus difficile. Pour y parvenir, l'équipe MSTIC, âgée de cinq ans, comprend d'anciens espions et des agents du renseignement gouvernemental dont l'expérience dans des endroits comme Fort Meade, siège de la National Security Agency et du US Cyber ​​Command, se traduit immédiatement dans leurs rôles chez Microsoft.

Le MSTIC nomme des dizaines de menaces, mais la géopolitique est compliquée : la Chine et les États-Unis, deux des acteurs les plus importants du cyberespace et les deux plus grandes économies du monde, ne sont pratiquement jamais appelés comme des pays comme l'Iran, la Russie et la Corée du Nord. le sont fréquemment.

Notre équipe utilise les données, relie les points, raconte l'histoire, suit l'acteur et ses comportements, explique Jeremy Dallman, directeur des programmes stratégiques et des partenariats chez MSTIC. Ils chassent les acteurs – où ils se déplacent, ce qu'ils prévoient ensuite, qui ils ciblent – ​​et vont de l'avant.

Tanmay Ganacharya dirige des recherches avancées sur la protection contre les menaces au sein de l'équipe Microsoft Defender, qui applique la science des données à la masse de signaux entrants dans le but de créer de nouvelles couches de défense. Parce que nous avons des produits dans tous les domaines auxquels vous pouvez penser, nous avons des capteurs qui nous apportent le bon type de signaux, dit-il. Le problème était de savoir comment traitons-nous réellement toutes ces données ?

Microsoft, comme d'autres géants de la technologie, dont Google et Facebook, notifie régulièrement les personnes ciblées par les pirates du gouvernement, ce qui donne aux cibles la possibilité de se défendre. Au cours de la dernière année, MSTIC a informé environ 10 000 clients Microsoft qu'ils étaient ciblés par des pirates du gouvernement.

Nouvelles cibles

À partir d'août, MSTIC a repéré ce qu'on appelle une campagne de pulvérisation de mots de passe. Les pirates ont fait environ 2 700 suppositions éclairées sur les mots de passe de comptes associés à une campagne présidentielle américaine, de responsables gouvernementaux, de journalistes et d'Iraniens de haut niveau vivant en dehors de l'Iran. Quatre comptes ont été compromis dans cette attaque.

Les analystes du MSTIC ont identifié les compromis en partie en suivant l'infrastructure dont Microsoft dit savoir qu'elle est contrôlée exclusivement par le groupe de piratage iranien Phosphorus.

Une fois que nous comprenons leur infrastructure - nous avons une adresse IP que nous savons être la leur et qu'ils utilisent à des fins malveillantes - nous pouvons commencer à examiner les enregistrements DNS, les domaines créés, le trafic de la plate-forme, explique Dallman. Quand ils se retournent et commencent à utiliser cette infrastructure dans ce type d'attaque, nous le voyons parce que nous suivons déjà cela comme un indicateur connu du comportement de cet acteur.

Après avoir effectué un travail de reconnaissance considérable, Phosphorus a tenté d'exploiter le processus de récupération de compte en utilisant les vrais numéros de téléphone des cibles. MSTIC a repéré Phosphorus et d'autres pirates informatiques parrainés par le gouvernement, y compris le russe Fancy Bear, utilisant à plusieurs reprises cette tactique pour tenter de hameçonner des codes d'authentification à deux facteurs pour des cibles de grande valeur.

Ce qui a soulevé l'alarme de Microsoft au-dessus de la normale à cette occasion, c'est que Phosphorus a modifié sa procédure opérationnelle standard pour poursuivre les ONG et les organisations de sanctions. Le réticule s'est déplacé, les tactiques ont changé et la portée s'est élargie.

Ce n'est pas rare, mais la différence ici était que c'était à une échelle beaucoup plus grande que ce que nous avions vu auparavant, dit Dallman. Ils ciblent fréquemment ces types de personnes, mais c'était l'échelle et la quantité massive de travail de reconnaissance qu'ils avaient fait pour cette campagne [qui était différente]. Et puis, en fin de compte, cela se résumait aux individus qu'ils ciblaient, y compris l'individu de la campagne présidentielle.

Les détectives de Microsoft ont finalement pointé du doigt les pirates informatiques iraniens pour avoir ciblé les campagnes présidentielles, notamment Reuters signalé , l'opération de réélection de Donald Trump en 2020.

photographie du campus de microsoft

Le campus de Redmond de Microsoft est immense. À plus de 8 millions de pieds carrés, il abrite plus de 50 000 employés. source : Microsoft

Nous avons vu les modèles.

Au cours des deux décennies de Lambert chez Microsoft, les outils et les armes du cyberdomaine ont proliféré dans des dizaines de pays supplémentaires, des centaines de groupes de cybercriminels compétents et, de plus en plus, une industrie d'entreprises du secteur privé vendant des exploits à l'échelle internationale à des acheteurs prêts à payer le gros prix.

La prolifération signifie un éventail beaucoup plus large de victimes, dit Lambert. Plus d'acteurs à suivre.

Cela se voit dans les hacks politiques. L'une des conséquences des élections américaines de 2016 est l'augmentation du nombre de joueurs qui se battent pour pirater les partis politiques, les campagnes et les groupes de réflexion, sans parler du gouvernement lui-même. Le piratage lié aux élections a généralement été le domaine des quatre grands : la Russie, la Chine, l'Iran et la Corée du Nord. Mais il se propage à d'autres pays, bien que les chercheurs de Microsoft aient refusé de préciser ce qu'ils ont vu.

Ce qui est différent, c'est que d'autres pays rejoignent la mêlée qui n'étaient pas nécessairement là auparavant, explique Jason Norton, chef de projet principal sur MSTIC. Les deux grands [la Russie et la Chine] - maintenant, nous pouvons dire qu'ils s'en sont occupés historiquement bien avant les élections de 2016. Mais maintenant, vous voyez d'autres pays le faire - piquer et pousser le ventre mou afin de connaître les bons éléments pour avoir une influence ou un impact à l'avenir.

Le terrain devient bondé, Dallman en convient. Les acteurs apprennent les uns des autres. Au fur et à mesure qu'ils apprennent les tactiques des noms les plus importants, ils inversent la tendance et les utilisent.

Les élections à venir sont également différentes, en ce sens que personne n'est surpris de voir cette activité malveillante. Au début de 2016, la cyberactivité russe a été accueillie avec une naïveté collective abasourdie, contribuant à la paralysie et à une réponse incertaine. Pas cette fois.

La différence se résume vraiment à ce que nous savons qui va se passer, explique Dallman.

Ensuite, c'était plutôt une inconnue, et nous ne savions pas comment la tactique allait se développer. Maintenant, nous savons; nous avons vu les modèles. Vous les avez vus en 2016, vous avez vu ce qu'ils ont fait en Allemagne, vous les avez vus aux élections françaises, tous suivant le même MO. Les mi-parcours de 2018 aussi - dans une moindre mesure, mais nous avons toujours vu certains des mêmes MO, les mêmes acteurs, le même timing, les mêmes techniques. Nous savons maintenant, à l'approche de 2020, que c'est le MO que nous recherchons. Et maintenant, nous avons commencé à voir d'autres pays sortir et commencer à utiliser d'autres tactiques.

La nouvelle normalité est que les magasins de cyberintelligence de l'industrie ont tendance à montrer la voie dans ce type d'activité de sécurité publique tandis que le gouvernement suit.

En 2016, c'est CrowdStrike qui a enquêté et a pointé du doigt l'activité russe visant à interférer avec les élections américaines. La communauté américaine des forces de l'ordre et du renseignement a ensuite confirmé les conclusions de l'entreprise et, après l'enquête de Robert Mueller, a inculpé des pirates informatiques russes et détaillé la campagne de Moscou.

Avec une taille totale de plus de 1 billion de dollars, Microsoft est un ordre de grandeur plus grand, apportant d'énormes ressources au défi de la sécurité. Et le géant de la technologie a un autre grand avantage : il a des yeux, des oreilles et des logiciels partout. C'est, comme Lambert pourrait le dire, sa superpuissance.

cacher