L’ANSSI ne publie quasiment plus d’indicateurs de compromission depuis deux ans

Début 2020, Bouygues Construction était victime de Maze, un « Ransomware-As-A-Service ». L’entreprise de BTP était à ce moment-là une des nombreuses cibles de cette attaque. Bien d’autres ont malheureusement suivi par la suite.

• Rançongiciel Maze : l’ANSSI assure d’une « collaboration efficace » avec Bouygues Construction

L’Agence nationale de la sécurité des systèmes d'information nous assurait alors d’une « collaboration efficace » avec Bouygues Construction, aboutissant à l’identification et la publication de « marqueurs » pour détecter au plus tôt cette menace sur le réseau d’une entreprise. L’Agence précise encore aujourd’hui que ces indicateurs, « qualifiés ou non par l'ANSSI, sont partagés à des fins de préventions ».

L’ANSSI indique que ces marqueurs viennent d’« infrastructures légitimes compromises par des attaquants et doivent être utilisés avec précaution : toute détection à partir de ces éléments ne constitue pas nécessairement une preuve de compromission et doit être analysée afin de lever le doute ; d’une manière générale, ces marqueurs doivent être utilisés pour de la supervision plutôt que des actions de blocage ».

L’ANSSI tient le rythme en 2020 et 2021

Quelques mois plus tard, en mai 2020, un second lot d’indicateurs de compromission était mis en ligne par l’ANSSI. « Les marqueurs techniques suivants sont associés en source ouverte au groupe cybercriminel SILENCE (voir la publication CERTFR-2020-CTI-004). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ».

Deux semaines plus tard, rebelote avec le code malveillant Dridex. On ajoute le groupe cybercriminel TA505 et le rançongiciel Egregor pour arriver à un total de cinq indicateurs en 2020.

En 2021, la cadence accélère légèrement avec six indicateurs de compromission. On y retrouve des marqueurs sur l'infrastructure d'attaque utilisée par le groupe cybercriminel TA505, les attaques Sandworm ciblant des serveurs Centreon, le rançongiciel Ryuk (qui est en fait une mise à jour d’un bulletin de 2020), le mode opératoire APT31 « ciblant la France », le groupe cybercriminel Lockean et les campagnes d’hameçonnage du mode opératoire Nobelium.

Un indicateur en juillet ? Non… un flux MISP

Alors que les attaques ne faiblissent pas vraiment en 2022, il a fallu attendre juillet pour que le premier indicateur de l’année soit mis en ligne… Et ce n’était même pas un indicateur de compromission, mais l’annonce d’un « feed MISP [Malware Information Sharing Platform, ndlr] public regroupant des indicateurs de compromission marqués TLP:CLEAR dont la diffusion est libre ».

« Tous les indicateurs de compromission partagés publiquement par le CERT-FR au format JSON MISP sont diffusés via ce feed. Les indicateurs de compromission partagés publiquement dans d’autres formats (CSV, règles SNORT, règles YARA, etc.) sont publiés dans cette section du site Web », précise l’ANSSI. Pour plus de détails sur le fonctionnement de cette plateforme, rendez-vous sur le site officiel.

L’ANSSI a publié 14 indicateurs de compromissions via son flux MISP, contre 12 via son site (13 si on compte l’annonce MISP). On a vérifié, l’ensemble des indicateurs du site sont bien dans le flux MISP, les deux de plus sont les suivants : [ESET] IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine et [NCSC-UK] Cyclops blink. Ils datent de début 2022, et donc avant l’annonce du feed MISP.

MISP : deux indicateurs en rapport avec la guerre en Ukraine

Le premier concerne un rapport des menaces et incidents daté de mars 2022. Il revient sur les « tensions internationales actuelles causées par l’invasion de l’Ukraine par la Russie ». Comme le laisse supposer le descriptif, les marqueurs viennent de chez ESET.

Le second date de fin février 2022. Il est, lui aussi, en rapport avec la guerre en Ukraine. « La découverte et la publication par le NCSC-UK [National Cyber Security Centre du Royaume-Uni, ndlr] au début de l’invasion russe en Ukraine, d’une large compromission de routeurs domestiques des constructeurs Watchguard et Asus en Europe et aux États-Unis par le réseau de botnets Cyclops Blinks, opéré via le Moa Sandworm, réputé lié en source ouverte au GRU (service de renseignement militaire russe), a laissé craindre une utilisation dans le cadre du conflit », explique l’ANSSI dans son état de la menace du secteur des télécommunications, publié le 18 décembre 2023.

• • L’ANSSI dresse le bilan de sécurité d’un secteur des télécoms sous pression

En 2023, des marqueurs sur FIN12 et… c’est tout

2022 était donc une année blanche pour la page des indicateurs de compromission de l’ANSSI. En 2023, des marqueurs associés au mode opératoire cybercriminel FIN12 (anciennement UNC1878) ont été mis en ligne le 18 septembre (sur le site et dans le flux MISP).

Leur nom ne vous dit rien ? Leurs « faits d’arme » sur le territoire français parlent d’eux-mêmes. « Entre 2020 et 2023, ils auraient utilisé les rançongiciels Ryuk et Conti, avant de prendre part aux programmes de Ransomware-as-a-Service (RaaS) des rançongiciels Hive, BlackCat et Nokoyawa. Ils auraient également utilisé les rançongiciels Play et Royal ».

Il n’en reste pas moins qu’un seul indicateur a été publié en 2023, que ce soit via MISP ou sur le site. C’est d’autant plus surprenant que les attaques ne faiblissent pas ces derniers mois, au contraire. Et cela ne devrait pas aller en s’améliorant avec les Jeux olympiques de cet été.

Nous avons interrogé l’ANSSI sur cet encéphalogramme quasi plat autour de ses indicateurs de compromission, contrairement aux années 2020 et 2021, sans réponse pour l’instant.

L’ANSSI propose aussi une page dédiée aux durcissements et recommandations. Le premier date de juin 2020 sur Active Directory, le second d’octobre 2021, aussi sur Active Directory. Rien depuis plus de deux ans. Les alertes et avis de sécurité continuent d’être mis à jour à un rythme soutenu. De même pour les bulletins d’actualité hebdomadaire.