Trickgate, l'outil secret des hackers pour pirater les grandes entreprises
REvil, Emotet, Maze, ces groupes de cybercriminels ne vous sont peut-être pas inconnus. Ils ont mené un grand nombre de campagnes de piratage lors des six dernières années et ont notamment épinglé LG et Acer à leur tableau de chasse. Toutes ces attaques ont été des réussites grâce à un outil à l'époque inconnu mais que les équipes de Check Point ont fini par découvrir fin janvier. Son nom ? Trickgate.
Trickgate est un service disponible sur le darknet. Il n'est accessible qu'à une certaine élite et ne bénéficie d'aucune promotion. C'est grâce à cette technique que ses créateurs ont pu se camoufler et passer sous les radars des veilleurs de la cybersécurité. Or Trickgate est absolument redoutable, il permet d'outrepasser la surveillance des logiciels de protection de type EDR (Endpoint detection and response) et de déployer le malware discrètement. "Trickgate peut être comparé à une enveloppe dans laquelle des cyber-acteurs malveillants vont mettre un, voire plusieurs malwares. Via cette enveloppe, les malwares ne sont pas visibles et passent donc inaperçus pour la plupart des mécanismes de protection", simplifie Adrien Merveille, expert cybersécurité chez Check Point.
Disponible sur le darknet, Trickgate n'est accessible qu'à une certaine élite et ne bénéficie d'aucune promotion
Le fait que Trickgate ait été conçu pour contourner les EDR n'est pas un hasard, cette technologie ayant été massivement déployée au cours des dernières années au sein des entreprises pour détecter en amont toute tentative d'intrusion par un logiciel malveillant. Les EDR sont craints par les hackers car plus un malware est détecté tôt, moins il a de chance de réussir son attaque. On peut se demander comme un outil anti-EDR utilisé par de grands groupes de cybercriminels a pu rester dissimulé. "Cet outil est resté dans l'ombre car il a souvent changé de forme. Il n'y a donc pas eu de lien entre les différentes occurrences vues. Pour reprendre l'image de l'enveloppe, c'est comme si ses caractéristiques changeaient", poursuit Adrien Merveille. Ce n'est donc pas un travail d'amateur mais bien un outil consciencieusement développé qui reçoit régulièrement des modifications pour pouvoir rester anonyme. Cette technique a en effet tenu six ans.
La fin des EDR ?
Si un outil aussi sophistiqué a pu rester invisible pendant 6 ans, est-il possible que des alternatives existent pour toutes les technologies de défense, comme le XDR par exemple. "Les EDR sont en général composés de plusieurs moteurs qui vont identifier des éléments différents dans le contexte d'une attaque. C'est essentiel comme approche car les malwares présentent beaucoup de facettes différentes. Par exemple, un ransomware n'aura pas le même comportement qu'un crypto miner donc les mécanismes pour les détecter ne seront pas forcément les mêmes. L'EDR a donc de beaux jours devant lui, mais l'EDR de demain sera probablement différent de celui d'aujourd'hui", explique Adrien Merveille, qui rappelle également "qu'aucun système de sécurité n'est infaillible et ne garantit une protection à 100%".
Même son de cloche du côté des RSSI : "Ce nouveau vecteur (la fameuse enveloppe, ndlr) n'a pas à faire paniquer les RSSI. Pas de péril en la demeure mais on s'intéresse enfin aux vecteurs et c'est bien", se félicite Philippe Hameau, RSSI qui a eu à mettre en place des EDR. Pour Franck Rouxel, co-président de l'Agora RSSI, RSSI et directeur des opérations chez Mind Technologies et ex-RSSI du ministère des Armées, "ce n'est pas la fin de l'EDR, ça confirme juste le fait qu'on doit avoir une défense complète. Un EDR seul n'est pas suffisant. Par exemple le CHU de Versailles en avait un mais cela n'a pas suffi. Les attaquants ont bien sûr des coups d'avance par rapport aux outils qu'on utilise. La sécurité ne se résume pas à ces outils mais à des architectures, le vrai sujet est de bien construire : comment on opère les réseaux informatiques, comment on les entretient." A bon entendeur.