close
Gartner Report:
Innovation Insight for
Security Orchestration,
Automation and Response DOWNLOAD NOW

Parlez-vous Fancy?

ThreatConnect passe en revue de l’activité probablement associée au Fancy Bear visant l’élection présidentielle française

Dans l’entre-deux-tours de l’élection présidentielle française et la course entre Emmanuel Macron et Marine Le Pen, ThreatConnect démontre que certains domaines “spoofés” du site web du candidat Macron En-Marche.fr sont liés à de l’activité cyber Russe.

To read this post in English, click here.

Suite à un rapport de Trend Micro qui identifie les tentatives d’attaques de courriels phishing envers la campagne d’Emmanuel Macron, nous avons identifié de nouveaux indicateurs de compromission (IOC) et davantage d’intelligence associée à cette activité. Celle-ci a plusieurs points communs avec des tactiques propres à Fancy Bear. Cependant, à l’heure actuelle, il nous manque de l’information sur les courriels phishing, les autres vecteurs d’attaques, les pages web demandant des identifiants et mots de passe, et autre malware qui nous aiderait à attribuer cette attaque avec plus de certitude à Fancy Bear ou à un autre adversaire. De même, il est important de noter, que vu l'importance accordé à ce type d'attaque, cela pourrait également être un adversaire utilisant ce même modus operandi.

Si Fancy Bear s’immisce effectivement dans la campagne du candidat Macron, nous nous attendons à voir d’autres tentatives d’accès même si les recherches associées aux domaines “spoofés” dans ce rapport étaient infructueuses. Ces autres cibles pourraient être d’autres organisations politiques associées à la campagne, ou, par exemple, une société fournissant des services à la campagne du candidat. Lors des primaires présidentielles américaines, Fancy Bear avait mis en œuvre une tactique semblable lors de l’attaque du “Democratic National Committee” (via leurs consultants IT) et de son Comité de campagne (via leur site web de collecte de fonds) avec pour but de discréditer le parti Démocrate américain.

Mise en contexte : L’importance de l’élection française

Suite aux efforts de la Russie contre les élections présidentielles américaines de 2016, qui ont mis en évidence de l’information fuitée du parti démocrate, beaucoup, dont nous et la communauté du renseignement américain ont prédit que cette activité continuerait. Même si l’impact réel de l’activité russe sur les résultats de l’élection est encore en débat, le résultat est en accord avec les objectifs russes et les conséquences - ou le manque de conséquences - ne semblent pas décourager de futures campagnes. La prochaine cible ou victime idéale ? L’élection française, qui se joue maintenant entre le candidat centriste Emmanuel Macron et la populiste d’extrême droite Marine Le Pen.

Comme Donald Trump durant la campagne américaine de 2016, la candidate Le Pen a ouvertement adopté une posture favorable aux activités russes (comme l’annexion de la Crimée) et au président russe Vladimir Poutine. De même, le nationalisme de Le Pen dans sa politique étrangère, et ses vues à l’encontre de l’Union Européenne s’accordent avec les objectifs russes de débiliter la cohésion d’organisations multinationales, comme l’Union Européenne, qui ont tenté de décourager l’agression russe en Crimée en imposant des sanctions. Par contre, Macron a, lui, critiqué les activités russes et on s’attend à ce qu’il maintienne sa posture actuelle.

Nous nous attendons donc à voir toutes les campagnes actives russes cibler la campagne de Macron, et donc favoriser celle de Le Pen. Les collaborateurs du camp Macon accusent déjà la Russie de tentatives d’intrusions informatiques dans sa campagne et de désinformation de la part de media russes proches du Kremlin.

Et ça commence comme ceci…

Trend Micro a récemment identifie que Pawn Storm, également connu sous le pseudo Fancy Bear, a très probablement utilisé le domaine spoofé onedrive-en-marche[.]fr pour cibler la campagne de Macron. La campagne de Macron a d’ores et déjà confirmé les tentatives d’intrusions, mais a dit qu’elles avaient échouées (espérons qu’ils utilisent l’authentification à deux facteurs !). L’utilisation d’un domaine spoofé est certainement la marque de fabrique de Fancy Bear et une tactique qu’ils utilisent fréquemment, mais nous avons aussi décidé de creuser un peu plus sur le domaine en utilisant la plateforme ThreatConnect pour savoir si on pouvait identifier de l’intelligence supplémentaire. C’est ce que nous avons fait, autrement ce blog n’aurait pas d’intérêt.

Identification de nouveaux domaines en utilisant le registrant associé au domaine.

 

ThreatConnect-WHOIS-integration-information-on-onedrive-en-marcge-fr

Information sur onedrive-en-marche[.]fr. en utilisant l’intégration WHOIS de ThreatConnect

Nous avons commencé par importer le domaine onedrive-en-marche[.]fr comme un indicateur. En utilisant l’intégration WHOIS de ThreatConnect, nous avons identifié que le domaine était enregistré sous le courriel johnpinch@mail[.]com. Le mail[.]com n’est pas anodin vu que Fancy Bear a déjà utilisé ce domaine par le passé, et d’autres fournis par 1&1 comme europe[.]com, pour faire l’enregistrement de domaines utilisés dans les opérations. Bien que nous ne pouvons conclure que cela est lié à Fancy Bear, cela est semblable à leurs tactiques passées.

ThreatConnect-Tracks-results-for-johnpinch-mail-com

Résultats de “tracks” de ThreatConnect pour johnpinch@mail[.]com.

En utilisant la fonctionnalité de ThreatConnect “Tracks”, qui met en avant les données de DomainTools pour identifier et suivre les domaines souscrits avec une adresse de courriel donnée, nous déterminons que l’adresse de courriel johnpinch@mail[.]fr est associée avec les domaines suivants : accounts-office[.]fr, portal-office[.]fr, et mail-en-marche[.]fr. Ce dernier fait aussi le spoof du domaine en-marche.fr et pourrait être utilisé dans des opérations contre sa campagne.

Serveurs dédiés et une curieuse coïncidence

Après avoir identifié ces autres domaines, nous avons utilisé les différentes intégrations de ThreatConnect et certaines fonctionnalités de nos amis de DomainTools pour obtenir un historique d’enregistrement de ces domaines. Au total, nous avons pu identifier à peu près dix indicateurs supplémentaires pour cette activité, dont le sous-domaine mail.onedrive-en-marche[.]fr qui est enregistré sur 80.82.69[.]134. Ces indicateurs ont été partagés dans l’incident : 20170424C: Domains Spoofing En-marche.fr Likely Used in Fancy Bear Phishing.

DomainTools-WHOIS-information-on-mail-en-marche-fr

Information WHOIS sur mail-en-marche[.]fr de DomainTools

Nous avons déterminé que tous les domaines qui étaient associés à l’adresse de courriel johnpinch@mail[.]com étaient hébergés sur des serveurs dédiés. L’utilisation d’un serveur dédié indique souvent qu’un domaine a été mis en opération. L’utilisation de serveurs dédiés, bien qu’ils coûtent plus cher financièrement, donnent à des acteurs mal intentionnés plus de contrôle sur leur manière de gérer leur infrastructure.

ThreatConnect-Farsight-DNSDB-integration-information-on-portal-office-fr

Information sur portal-office[.]fr grâce à l’intégration de ThreatConnect avec Farsight DNSDB

En observant de plus près les adresses IP hébergeant ces domaines en utilisant notre intégration Farsight DNSDB nous avons confirmé que le domaine portal-office[.]fr était hébergé sur l’adresse IP 194.187.249[.]135.

ThreatConnect-entry-on-194.187.249135-IP-address

 Données de ThreatConnect sur l’adresse IP 194.187.249[.]135.

Nous avons aussi remarqué que l’adresse IP 194.187.249[.]135 IP était référencée dans le rapport de Décembre 2016 de l’équivalent américain du Ministère de l’intérieur français, Grizzly Steppe Joint Analysis Report (JAR) sur l’activité cyber russe. Aucun autre contexte n’a été associé avec cette adresse IP dans le JAR ; cependant, une recherche supplémentaire indique que cette adresse IP était un node de sortie dans Tor. En examinant l’information d’hébergement de cette IP, il en résulte que le domaine portal-office[.]fr est le seul y étant associé, ce qui suggère que cette adresse IP pourrait être dédiée à l’acteur derrière cette adresse.

De Tor au Fancy Bear

La coïncidence de l’apparition d’une de ces adresses IP dans le JAR de Grizzly Steppe a mérité une analyse supplémentaire. D’après de l’information dérivée de collector.torproject.org et check.torproject.org, l’adresse IP 194.187.249[.]135 a de manière presque certaine opéré comme un node de sortie de Tor aux alentours du 12 Octobre 2016 et n’est pas, à l’heure actuelle, un node de sortie.

tor-exit-node

Dernière date et heure identifiée sur la désignation de 194.187.249[.]135 comme un node de sortie Tor, selon collector.torproject.org.

En utilisant une adresse IP qui était utilisée précédemment comme un node de sortie Tor, nous nous sommes posé la question “pourquoi ?”. Clairement, des acteurs malicieux auraient été sensibles aux contenus du rapport JAR Grizzly Steppe et auraient essayé d’éviter tout indicateur associé pour s’assurer que leurs opérations soient un succès. Nous pouvons penser à trois scenarios qui pourraient expliquer cela :

  1. Attribution « muddying » : Les acteurs derrière le domaine portal-office[.]fr, et les domaines « spoofés » en-marche.fr, ont volontairement choisi une adresse associée à un node Tor pour rendre difficile les efforts d’attribution. En faisant cela, les analyses d’attribution sur ces adresses IP auraient à prouver que cette adresse n’était pas utilisée par plusieurs acteurs.
  2. Transition délibérée : les acteurs ont maintenu le contrôle de l’adresse IP quand elle opérait comme un node de sortie Tor et plus tard lorsqu’elle hébergeait portal-office[.]fr. Dans ce scénario, les acteurs ont intentionnellement transféré l’infrastructure d’un node de sortie vers une infrastructure d’hébergement. Ce scenario suscite de nouvelles questions, telles pourquoi les acteurs ont opéré ce node de sortie, s’ils l’utilisaient, s’ils en collectaient des informations, et pourquoi ils en ont changé la fonction pour héberger une infrastructure opérationnelle.
  3. Hasard complet : Les acteurs n’ont pas choisi l’adresse IP ou ont utilisé une adresse IP au hasard. Dans ce scenario, il en résulte une coïncidence que l’adresse IP 194.187.249[.]135 ait précédemment été utilisée comme un node de sortie Tor.

Identifier d’autres domaines possibles qui font le « spoofing » de en-marche.fr

En utilisant Iris de DomainTools, nous avons examiné d’autres enregistrements de domaines dont les caractéristiques ressemblent à ceux « spoofés » en-marche.fr. Nous avons cherché des domaines enregistrés depuis le 1er. Mars 2017 qui contenaient le terme « marche » et qui utilisaient un des plusieurs domaines de courriels 1&1 que les Fancy Bear ont tendance à utiliser, dont mail[.]com, email[.]com, et europe[.]com. Ceci nous a aidé à identifier un nouveau domaine, en-marche[.]co, qui était enregistré sous l’adresse de courriel amarocarrion@mail[.]com le 12 Avril 2017. Ce domaine est actuellement hébergé dans une adresse IP Cloudflare, ce qui masque où le domaine est hébergé, mais un partenaire nous a indiqué que ce domaine est hébergé sur l’adresse IP 193.29.187[.]40.

DomainTools-IP-information-for-1932918740-shows-THCservers

Information IP de DomainTools pour 193.29.187[.]40 qui montre qu’elle est associée à THCservers.com

En cherchant l’information de l’adresse IP 193.29.187[.]40 sur DomainTools, nous remarquons que l’adresse IP appartient au service d’hébergement THCservers. Nous avions au préalable identifie le penchant qu’a Fancy Bear d’utiliser THCservers, notamment pour le site  site faketivist dcleaks[.]com. C’est plausible que Fancy Bear ait aussi obtenu une infrastructure d’hébergement IP de cette entreprise qu’ils ont tendance à utiliser. En recherchant l’information historique WHOIS pour le domaine en-marche[.]co, nous remarquons une autre caractéristique de tactiques d’enregistrement et d’hébergement utilisées par Fancy Bear.

DomainTools-WHOIS-information-for-en-marche-co-showing-Monovm-name-servers

Information WHOIS de DomainTools pour en-marche[.]co qui montre l’utilisation de serveurs avec le nom Monovm.

Ce domaine a d’abord utilisé le nom de serveurs monovm[.]com lorsqu’il a été enregistré le 13 Avril 2017. Nous ne savons pas dans quelle mesure, et si ce domaine était effectivement utilisé de manière malicieuse, mais le nom Monovm et les noms de serveurs ont précédemment été utilisés sur des domaines comme securityprotectingcorp[.]com tels qu’identifiés dans des attaques Fancy Bear. Bien que cela ne soit pas concluant, cela représente un autre élément ressemblant aux tactiques identifiées précédemment avec Fancy Bear, ce qui pourrait laisser penser qu’ils ciblent la campagne de Macron.

En Conclusion

Il y a des similitudes dans les activités identifiées contre le candidat Macron et les tactiques d’enregistrement et d’hébergement de domaines de Fancy Bear, dont l’utilisation de courriels mail.com pour enregistrer les domaines ainsi que l’utilisation d’infrastructures dédiées. De même, la motivation et les victimes présumées, des candidats à une présidentielle que la Russie aimerait voir perdre, est cohérent avec les campagnes actives précédemment observées lors de l’élection présidentielle américaine de 2016. Cependant, sans plus d’information sur les courriels de phishing utilisés lors de cette campagne contre Macron, nous ne pouvons pas confirmer, de manière définitive, l’analyse de Trend Micro qui affirme que Fancy Bear/Pawn Storm est derrière cette activité.

D’autres organisations travaillant avec le parti de Macron, En Marche !, doivent être conscients de la menace que représente l’activité cyber russe. Notamment, les organisations qui ont accès à ou sont connectées aux ordinateurs, réseaux, ou sites web de la campagne En Marche ! devraient opérer à un niveau d’alerte élevé et se méfier de toute attaque dont le modus operandi ressemble à celui de Fancy Bear ou à d’autres opérations cyber provenant des hautes sphères du pouvoir russe.

ABOUT THE AUTHOR

The ThreatConnect Research Team: is an elite group of globally-acknowledged cybersecurity experts, dedicated to tracking down existing and emerging cyber threats. We scrutinize trends, technology and socio-political motivators to develop comprehensive knowledge of the cyber landscape. Then, we share what we’ve learned so that you can protect your organization, and your team can take precise action against threats.