La coupure quasi totale d’Internet imposée par le gouvernement iranien à partir du 8 janvier, apparemment en raison de la répression des manifestants, pourrait offrir une rare opportunité au personnel du SOC et à d’autres analystes de la cybersécurité, en permettant brièvement d’identifier et de prendre leurs empreintes digitales à toutes les sources de trafic gouvernementales, une aide considérable dans la traque des acteurs étatiques iraniens.
Parmi les acteurs étatiques malveillants à l’échelle mondiale, l’Iran arrive en tête, derrière la Chine, la Russie et la Corée du Nord, ce qui suggère que ce type d’informations sur les systèmes iraniens pourrait être utile.
Le PDG d’un fournisseur de cybersécurité affirme qu’il s’agit en fait d’une menace potentielle, d’une mine d’or en matière de renseignement.
Dans une panne d'Internet quasi totale, « la surface d'attaque dont disposent les pirates informatiques de l'État diminue. Ils ne peuvent plus se cacher dans le bruit de millions d'adresses IP résidentielles. Ils sont obligés de diriger leurs attaques via les quelques canaux restants sur la liste blanche, qui sont exactement ces agences gouvernementales ennuyeuses comme l'agriculture, l'énergie et les universités », a déclaré Kaveh Ranjbar, PDG de Whisper Security. « Les groupes de menaces persistantes avancées (APT) cooptent régulièrement avec des infrastructures gouvernementales inoffensives pour lancer des attaques parce qu'elles semblent propres. Lorsque le reste du pays est dans le noir, ces serveurs ennuyeux deviennent le seulement rampes de lancement disponibles. Un contact du ministère de l’Agriculture ne peut pas être un agriculteur. « Il s’agit probablement d’un tunnel pour un acteur étatique qui a besoin d’un nœud de sortie. »
Ranjbar a déclaré que la suppression du trafic de millions d'utilisateurs résidentiels et commerciaux iraniens réguliers permet d'obtenir une visibilité puissante sur les modèles de trafic du gouvernement iranien, permettant ainsi aux SOC d'identifier ces sources.
“Pour un RSSI, le calcul est simple : le trafic des utilisateurs est nul. Si Amazon ou une banque constate du trafic en provenance de Téhéran lors d'une panne d'électricité, c'est Non un client qui achète des livres ou vérifie un solde. Est Non un employé à distance. [All] du trafic est généré par des machines et autorisé par l’État. Même s'il ne s'agit que d'un travail cron mal configuré au ministère de l'Eau, c'est une anomalie. Mais le plus souvent, il s’agit de scanner, de sondages ou de reconnaissance », a expliqué Ranjbar.
“Vous n'avez pas besoin d'une liste d'agences malveillantes”, a-t-il observé. “Vous devez savoir que tout l'espace IP visible de l'Iran est actuellement une enclave privilégiée. Si un serveur est autorisé à communiquer avec le monde extérieur alors que 80 millions de citoyens sont réduits au silence, ce serveur est, par définition, un actif de l'État. Dans un environnement de confiance zéro, cela en fait un indicateur de compromission (IoC) de haute confiance s'il touche votre réseau. “
Les analystes et les consultants se sont toutefois montrés prudents quant à cette approche, mais ont noté qu'en termes de retour sur investissement, la capture de ces données pendant la panne nécessite généralement un effort minimal, de sorte qu'il ne peut y avoir beaucoup de mal à le faire.
“Je ne pense pas qu'il y ait d'inconvénient à le capturer”, a déclaré Robert Kramer, vice-président et analyste principal chez Moor Insights & Strategy.
Les données peuvent avoir une valeur limitée
Mais, selon Kramer et d'autres experts, la nature des acteurs étatiques d'aujourd'hui peut rendre les données capturées d'une valeur limitée.
Les acteurs étatiques de ces quatre pays comptent parmi les attaquants les plus sophistiqués, les plus expérimentés et les mieux financés au monde. L’une de leurs principales compétences est non seulement de savoir brouiller les traces, mais aussi de créer de faux enregistrements et autres tromperies pour faire croire que l’attaque est lancée de n’importe où. autre que sa véritable source. Bref, si les logs indiquent que l’attaque vient de Chine, un RSSI sait que l’attaque n’a presque certainement pas été lancée par la Chine.
Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a déclaré qu'il voyait une certaine valeur potentielle, mais a ajouté qu'elle était limitée.
Dans ce type de panne, « les quelques paquets qui s'échappent deviennent d'une importance disproportionnée. Nous voyons des ASN sur liste blanche, des télécommunications contrôlées par l'État et des services gérés par le gouvernement. dit Gogia.
Mais, a-t-il souligné, c'est là que la valeur peut s'arrêter. « Le trafic résiduel n'est pas facilement converti en règles de blocage ou en logique SIEM. Il ne livre pas les serveurs de commande et de contrôle sur un plateau d'argent.
“Oui, il est possible de trouver une adresse IP iranienne qui continue de parler alors que personne d'autre ne le peut. Mais s'agissait-il de la boîte d'un acteur menaçant ou simplement d'un site Web gouvernemental ? Sans enrichissement à haut niveau de confiance, c'est une conjecture. Pire encore, si cette même adresse IP héberge à nouveau des services de paie une semaine plus tard, votre SOC est coincé à chasser les ombres. C'est pourquoi ces renseignements sont mieux utilisés pour la modélisation des menaces, pas pour la classification.”
Gogia a ajouté que les données capturées expireront probablement relativement rapidement.
“Les anomalies de routage et les proxys observables sont tout aussi instables. Lors d'arrêts partiels, le trafic pourrait être redirigé vers des voisins inattendus ou migré temporairement vers des FAI de secours”, a-t-il noté. “Un analyste avisé pourrait détecter un sous-réseau iranien utilisant un point de transit allemand lors d'une panne de courant. Mais une fois le service rétabli, ce chemin disparaît. Si vous le traitiez comme un IoC à long terme, cela deviendrait rapidement une impasse.”
Au-delà de la tromperie délibérée, il existe également un trafic légitime important provenant des agences gouvernementales iraniennes, a déclaré Matthew Stern, PDG de CNC Intelligence.
« Cela peut fournir des informations à court terme sur le comportement de routage, l'utilisation des protocoles et les dépendances en matière d'infrastructure que les opérateurs liés à l'État iranien peuvent réutiliser ultérieurement. Cependant, cela ne doit pas être surestimé », a déclaré Stern. “Le trafic gouvernemental n'est pas intrinsèquement malveillant et les cyber-acteurs iraniens sophistiqués opèrent fréquemment via des infrastructures étrangères, des hôtes compromis et des services tiers en dehors de l'Iran, limitant considérablement la valeur défensive à long terme de l'empreinte digitale du trafic intérieur.”
Cependant, le consultant en cybersécurité Brian Levine, PDG de FormerGov, a déclaré que la nature inhabituelle de cet arrêt justifie la poursuite de toutes les captures de données possibles.
Le rapport signal/bruit change
« Du point de vue du renseignement, c'est l'un des rares moments où le rapport signal/bruit change. Si le trafic quitte l'Iran à ce moment-là, il y a de fortes chances qu'il soit lié à l'État, et cela seul vaut la peine d'être capturé », a déclaré Levine. “Même une activité légitime du gouvernement iranien peut être précieuse pour les SOC. Les acteurs étatiques ont tendance à réutiliser les infrastructures, les itinéraires et les modèles opérationnels. Le trafic “normal” d'aujourd'hui peut devenir la miette d'attribution de demain.”
Bien que Levine reconnaisse que la quantité de données exploitables à long terme est probablement faible, il estime qu’elles valent toujours la peine d’être capturées. “La collecte d'empreintes digitales pendant une panne de courant ne résoudra pas à elle seule l'attribution, mais elle peut la rendre plus précise. En cyberdéfense, même quelques points de pourcentage de clarté peuvent faire la différence entre détecter une intrusion plus tôt et la manquer complètement.”
Cependant, deux vice-présidents analystes de Gartner, Jeremy D'Hoinne et Akif Khan, se sont montrés plus sceptiques quant à la valeur des données et ont découragé les équipes RSSI de s'en inspirer.
“L'attribution est dangereuse si elle repose sur des preuves techniques fragmentées”, a déclaré D'Hoinne. “Ne vous laissez pas distraire.”
Khan était plus direct. “Dans le brouillard de la guerre, tenter de trouver des informations vérifiables est un véritable défi. Sans pouvoir les corroborer, je ne pense pas que cela dépasse un exercice intellectuel. Si les personnes du SOC de votre entreprise ont le temps de le faire, elles doivent recentrer leurs priorités.”
