Comment l’IA a détecté un pirate qui se cachait dans le réseau électrique quelques heures après son déploiement

Max Heinemeyer, Director of Threat Hunting | vendredi 9 octobre 2020

Un cybercriminel avait déjà mis en place les premières étapes d’une intrusion critique dans une entreprise européenne du secteur de l’énergie, lorsque l’entreprise a déployé l’IA pour sa cyberdéfense. Alors que l’attaquant était déjà présent dans le système, Darktrace a identifié que son activité déviait du « modèle comportemental normal » du reste de l’entreprise.

Le pirate avait infiltré un ordinateur et établi un canal de commande et contrôle (C2). Il a ensuite téléchargé des fichiers exécutables dissimulés derrière des fichiers PNG d’apparence inoffensive. Cependant, de façon autonome, Darktrace a inclus l’ordinateur en question dans un « groupe de pairs » composés de machines similaires, et a constaté que son comportement était anormal par rapport au reste du groupe.

L’intrusion utilisait plusieurs techniques de dissimulation pour contourner les outils traditionnels, y compris des techniques de type « Living off the Land » (LotL) et la dissimulation de malwares dans des types de fichiers couramment utilisés. Une fois la menace détectée par Darktrace, une analyse de ces fichiers « inoffensifs » a démontré qu’ils permettaient d’accéder à distance à la machine compromise en utilisant le framework Metasploit.

Détails de l’attaque

Figure 1 : Chronologie de l’attaque

Immédiatement après son installation, Darktrace a commencé à surveiller le comportement d’environ 5 000 appareils afin d’établir leur « modèle comportemental normal » ainsi que celui de leurs groupes de pairs et de l’entreprise dans son ensemble. Deux heures à peine après le début de ce processus d’apprentissage, la technologie a constaté que l’ordinateur d’un administrateur établissait des connexions suspectes vers plusieurs domaines hébergés sur l’IP 78.142.XX.XXX. La régularité de ces connexions suggérait que l’infection était déjà en place sur cette machine.

Le lendemain, Darktrace a remarqué que l’ordinateur téléchargeait un fichier exécutable suspect nommé d.png. Plusieurs téléchargements similaires ont suivi.

Les piratent dissimulent souvent leurs fichiers exécutables derrière d’autres types de fichiers pour contourner certaines mesures de sécurité. Toutefois, la fausse extension de fichier a été immédiatement détectée par Darktrace et signalée afin d’être analysée.

L’absence d’OSINT pour la source du téléchargement au moment de l’activité indiquait que d’autres outils de sécurité n’avaient peut-être pas détecté les connexions HTTP suspectes. Cependant, la rareté de l’IP sur le réseau, ainsi que le comportement inhabituel de l’ordinateur par rapport aux autres machines du réseau, ont rapidement conduit Darktrace à détecter cette connexion malveillante.

Vue d’ensemble de la machine infectée

Après la première violation du modèle, Darktrace a continué de surveiller la machine infectée, en représentant sous forme graphique les connexions régulières vers le endpoint malveillant w.gemlab[.]top. La machine a établi plusieurs connexions vers ce endpoint toutes les 3 heures, ce qui suggère une activité automatisée. Aucune autre machine du groupe de pairs ne présentait ce type de comportement.

Figure 2 : Darktrace représente les connexions sous forme graphique ; les violations de modèles sont représentées par des points orange

Darktrace a détecté la nature suspecte de ces connexions HTTP et a mis en évidence la violation de modèle pour permettre à l’équipe de sécurité d’analyser la situation et d’apporter une solution.

Figure 3 : Darktrace met en évidence les détails de haut niveau de la violation du modèle

Figure 4 : Journal des événements de la machine

Détection d’une menace déjà présente en interne

Cet exemple d’attaque sophistiquée illustre une tentative de se « noyer dans la masse » du trafic habituel. Néanmoins, le système immunitaire Darktrace a réussi à identifier les signes d’une action malveillante, grâce à sa capacité de détecter automatiquement et de constituer des « groupes de pairs », d’utilisateurs ou de machines. C’est ainsi que l’IA a reconnu le comportement anormal de la seule machine compromise. Même si elle n’était active que depuis quelques heures, la technologie Darktrace a immédiatement signalé l’activité afin de permettre une investigation.

En l’absence des capacités de détection et d’alerte en temps réel de Darktrace (et d’une réponse rapide de l’équipe de sécurité pour contenir la menace), les ramifications potentielles de cette intrusion sont impossibles à minimiser. Lorsqu’ils sont en possession d’un canal de commande et contrôle efficace et de privilèges suffisants, les cybercriminels ont prouvé qu’ils étaient capables de perturber le fonctionnement de réseaux électriques entiers, et de causer des coupures d’électricité massives comme en Ukraine et en Estonie. En outre, les pirates auraient pu voler de grands volumes de données sensibles et exiger une rançon. L’entreprise ciblée aurait alors subi des pertes financières et endommagé sa réputation.

Ce n’est pas la première fois que Darktrace réussit à identifier des infections existantes dans les environnements de ses clients. Et ce n’est probablement pas la dernière. Notre approche auto-apprenante de la cyberdéfense ne se limite pas à identifier les changements dans l’environnement. Elle détecte les failles existantes, mais aussi les attaques nouvelles et sophistiquées qui échappent aux outils traditionnels, basés sur des règles et des signatures.

Nous remercions l’analyste Darktrace Emma Foulger pour les informations qu’elle nous a fournies sur la menace ci-dessus.

IoC :
IoCCommentaire
cloud.apcdn[.]ruTéléchargement de plusieurs fichiers à partir de cet endpoint
URI: /d.png
Hash: 82e1c9727ae04a19c8a155559e1855349e528244
w.gemlab[.]topLa première connexion C2 observée a été établie vers ce nom d’hôte
cloud.gemlab[.]top
img.gemlab[.]top
img.apcdn[.]ru
Autres communications C2 observées vers ces noms d’hôte

Détections de modèles Darktrace :

  • Device / Suspicious Domain
  • Compromise / Agent Beacon (Long Period)
  • Anomalous File / EXE from Rare External Location
  • Anomalous File / Masqueraded File Transfer

Max Heinemeyer

Max is a cyber security expert with over nine years’ experience in the field, specializing in network monitoring and offensive security. At Darktrace, Max works with strategic customers to help them investigate and respond to threats, as well as overseeing the cyber security analyst team in the Cambridge UK headquarters. Prior to his current role, Max led the Threat and Vulnerability Management department for Hewlett-Packard in Central Europe. In this role he worked as a white hat hacker, leading penetration tests and red team engagements. He was also part of the German Chaos Computer Club when he was still living in Germany. Max holds a MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.