Vous êtes sur le site public du Cert-IST
Cyber-espionnage, géopolitique et attaques d’équipements réseaux

Date :07 Avril 2018

Publication: Article

Le 16 avril 2018, l’US-CERT a émis une alerte (TA18-106A) intitulée : « Russian State-Sponsored Cyber Actors Targeting Network Infrastructure Devices ».

Elle s’adresse aux entreprises et aux organisations, et met en garde contre des attaques silencieuses, qui depuis 2015 visent les équipements réseaux (routeur, switch, firewall, IDS) visibles depuis Internet. Ces attaques ont pour objectif d’installer des backdoors sur ces équipements (pour une utilisation ultérieure) et d’espionner le trafic réseau. L’US-CERT attribue ces attaques à la Russie. Le fait de nommer la Russie est une décision fortement politique, qu’il faut sans doute décorréler du constat technique. Les USA ont en effet apparemment  décidé depuis décembre 2016 de nommer la Russie comme un de ses cyber-adversaires majeurs (cf. la page « Grizzly Steppe » sur le site de l’US-CERT).

Guillaume Poupart (Directeur de l’ANSSI) a indiqué le lendemain, à l’occasion de la sortie du rapport d’activité annuel de son Agence, que la France avait constaté aussi ce type d’intrusions sur des équipements réseaux, mais que la France ne les attribue pas spécifiquement à la Russie (voir par exemple cette interview sur Europe1). Le CERT-FR a ensuite émis des recommandations dans son bulletin d’actualité.

 

D’un point de vue technique, en plus des attaques classiques par force brute ou par ingénierie sociale pour voler des mots de passe telnet ou ssh (qui sont bien connues), l’alerte TA18-106A décrit 2 techniques d’attaques :

  • SNMP v2 qui permet d’interroger à distance un équipement et de récupérer sa configuration (y compris parfois les mots de passe d’administration).
  • Cisco SMI (SMart Install) qui est un service intrinsèquement non sécurisé, présent par défaut sur de nombreux commutateurs Cisco. Depuis novembre 2016 un outil d’attaque nommé SIET (Smart Install Exploitation Tool) est disponible sur Internet pour attaquer ce service.

Ces deux protocoles (SNMP et SMI) ont la caractéristique intéressante de pouvoir utiliser UDP, ce qui peut permettre d’envoyer des paquets d’attaques qui utilisent des adresses sources usurpées (source address spoofing) qui pourraient être autorisées à franchir les firewalls .

Nota : Le CERT-FR élargie cette liste en mentionnant aussi UPnP et  de façon générale les interfaces d’administrations. Le service TFTP est aussi utilisé lors de ces attaques comme un moyen d’obtenir une copie du firmware de l’équipement, ou pour installer un nouveau firmware sur l’équipement.

 Une fois l’équipement compromis il a été constaté des altérations telles que:

  • la modification du firmware pour permettre un accès illégal (backdoor),
  • la création de tunnels GRE pour rediriger certains trafics réseaux vers des infrastructures de l’attaquant.

 

Comment détecter ces attaques ?

Ces attaques concernent des équipements mal protégés (utilisant des protocoles non surs, ou n’utilisant pas de réseau d’administration protégé, etc.) et probablement  « oubliés » (non surveillés). Mais sur la base des constats faits par les différentes agences gouvernementales, il nous parait souhaitable que chaque organisation lance des recherches pour identifier si de tels équipements existent au sein de l’organisation, et en priorité pour les équipements exposés à Internet.

Une démarche d’analyse pourrait être la suivante :

  • répertorier les équipements réseaux (au moyen de scans réseaux, ou par inventaire),
  • identifier les services disponibles sur ces équipements. Si les services telnet, SNMP (avant V3) ou Cisco SMI sont identifiés, alors l’équipement est en grand danger et des investigations spécifiques sont indispensables,
  • vérifier les équipements suspects (ou plus largement les équipements critiques) en cherchant des changements anormaux sur les firmwares et sur leur configuration. La présence de tunnels GRE doit être explicitement vérifiée,
  • Eventuellement rechercher dans les logs réseaux des traces de trafics suspects vers ou depuis ces équipements.

Les 2 notes suivantes, citées dans l’alerte TA18-106A, donnent également des conseils :

 

En complément à cette action de recherche de compromissions, cette alerte rappelle également qu’il est souhaitable de mettre en place des mécanismes permettant de vérifier que les firmwares des équipements réseaux n’ont pas été modifiés sans autorisation. Nous avions mentionné ce besoin de contrôle d’intégrité sur les équipements réseaux en 2015, dans une brève du bulletin mensuel (à propos du rootkit ROMMON) ainsi que  dans le message VulnCoord-2015.026 (à propos de l’attaque « SYNful Knock »).

 

Evénements connexes

En parallèle de cette alerte TA18-106A (émise le 16/04/2018), plusieurs événements similaires sont à signaler.

Avant l’alerte de l’US-CERT, Cisco a émis plusieurs notes ou alertes à propos de Cisco SMI :

Le  06/04/2018, la presse a annoncé que « des hackers patriotiques » américains avaient attaqués un grand nombre d’équipement Cisco en Russie et en Iran (voir par exemple cet article de Motherboard.vice.com). Il est probable que ces attaques aient utilisé des vulnérabilités anciennes de Cisco SMI (par exemple au moyen de l’outil SIET mentionné ci-dessus), plutôt que la vulnérabilité CVE-2018-0171 comme certains sources l'ont indiquée.

Du fait de cette conjonction d’événements, nous avons émis le 10/04/2018 l’alerte orange CERT-IST/AL-2018.004.

 

Conclusion

Ces attaques silencieuses d’équipements réseaux peuvent souvent passer inaperçues et survivre longtemps avant d’être découvertes, si elles ne génèrent pas de dysfonctionnement. Au-delà de ces attaques supposées russes, elles sont fréquentes en cas d’attaque APT : lorsqu’il a réussi à rentrer dans une entreprise, l’attaquant cherche à compromettre des éléments clés de l’infrastructure et si possible à l’écart des systèmes les plus surveillés. Les équipements réseaux sont alors pour lui une cible de choix.