L'abus des Group Policy : nouvelle menace de l'espionnage gouvernemental chinois
Églantine Montclair
Selon les chercheurs d’ESET, un groupe d’espionnage aligné sur la Chine a développé une méthode inédite pour infiltrer les réseaux gouvernementaux : l’abus des objets de stratégie de groupe (Group Policy Objects ou GPO). Cette technique sophistiquée permet au groupe baptisé LongNosedGoblin de déployer des malwares et de se propager discrètement dans les environnements Windows compromis, avec des cibles principalement en Asie du Sud-Est et au Japon.
Le groupe LongNosedGoblin : une menace persistante avancée inédite
LongNosedGoblin représente une nouvelle menace dans le paysage des cybermenaces avancées. Ce groupe d’espionnage, probablement affilié aux intérêts chinois, a été identifié par les chercheurs d’ESET alors qu’il menait des opérations de surveillance ciblée contre des institutions gouvernementales. Sa particularité réside dans son utilisation innovante des Group Policy Windows, une fonction normalement conçue pour administrer et sécuriser les environnements d’entreprise.
Origines et cibles du groupe
Les activités de LongNosedGoblin remontent au moins à septembre 2023, selon les analyses d’ESET. Les chercheurs ont d’abord détecté ce groupe en 2024 lors d’une enquête sur une activité suspecte au sein du réseau d’une organisation gouvernementale d’Asie du Sud-Est. Ce contexte géographique s’est avéré représentatif de leurs cibles principales, bien que les chercheurs aient également observé une expansion récente vers des organisations de l’Union européenne.
« Nous avons identifié une autre instance d’une variante de NosyDoor ciblant une organisation dans un pays de l’UE, utilisant à nouveau des techniques différentes et employant le service cloud Yandex Disk comme serveur C&C. L’utilisation de cette variante de NosyDoor suggère que le malware pourrait être partagé parmi plusieurs groupes de menaces alignés sur la Chine », explique Anton Cherepanov, chercheur ESET.
Les institutions gouvernementales constituent clairement les cibles prioritaires de LongNosedGoblin, reflétant probablement des objectifs politiques et de renseignement stratégiques. La nature sensible des données accessibles via ces réseaux explique l’intérêt persistant du groupe pour cette catégorie de victimes.
Techniques d’infiltration initiales
Bien que les chercheurs n’aient pas précisément détaillé les méthodes d’entrée initiale (initial access) employées par LongNosedGoblin, leurs opérations montrent une stratégie de propagation interne particulièrement efficace après la compromission initiale. Une fois le réseau infiltré, le groupe privilégie une approche subtile s’appuyant sur l’abus des fonctionnalités administratives légitimes plutôt que sur des techniques d’exploitation agressives.
Cette approche témoigne d’une connaissance approfondie des environnements Windows et d’une capacité à exploiter les faiblesses dans les configurations de sécurité, particulièrement dans les grands réseaux gouvernementaux où les Group Policy sont omniprésents pour gérer les configurations à l’échelle de l’organisation.
Comment les Group Policy sont exploités pour la propagation malveillante
L’innovation technique de LongNosedGoblin réside dans sa maîtrise des Group Policy Objects, ces fonctionnalités Windows conçues pour centraliser la gestion des configurations, des permissions et des stratégies de sécurité au sein des Active Directory. En exploitant cette infrastructure essentielle, le groupe parvient à distribuer des charges malveillantes de manière massive et discrète.
Abus des objets de stratégie de groupe
Les Group Policy représentent un élément central de la campagne de LongNosedGoblin. Les attaquants abusent de ces objets pour pousser des composants malveillants vers d’autres machines connectées au domaine. Cette approche leur permet d’accéder à plusieurs systèmes sans avoir à recourir à des techniques de mouvement latéral bruyantes ou répétées, qui pourraient attirer l’attention des systèmes de détection.
Dans la pratique, cette technique exploite la confiance naturelle accordée au trafic administratif. Les Group Policy s’exécutent automatiquement lors du démarrage des machines ou lors de la connexion des utilisateurs, ce qui les rend parfaits pour la distribution de malwares sous couvert d’activités légitimes. Les administrateurs réseau ont rarement l’habitude de surveiller ou de restreindre l’exécution des scripts associés aux GPO, créant une fenêtre d’opportunité pour les attaquants.
La technologie Group Policy, conçue pour simplifier l’administration des grandes flottes Windows, devient ainsi une arme redoutable dans les mains d’acteurs sophistiqués comme LongNosedGoblin.
Lateral movement discret et persistant
Une fois déployés via les Group Policy, les malwares établissent des communications avec une infrastructure de commande et de contrôle (C2) hébergée sur des services cloud légitimes. Les chercheurs d’ESET ont observé l’utilisation de Microsoft OneDrive, Google Drive et Yandex Disk pour la livraison de commandes et l’échange de données.
Cette infrastructure choisie s’inscrit dans une tendance plus large parmi les groupes d’espionnage qui s’appuient sur des plateformes de confiance pour masquer le trafic malveillant au sein des activités d’entreprise normales. Les administrateurs ont souvent tendance à autoriser le trafic vers ces services cloud, ce qui facilite la dissimulation des communications malveillantes.
Néanmoins, l’utilisation de ces plateformes cloud n’est pas sans failles. Les chercheurs d’ESET soulignent que cette approche, bien que sophistiquée, peut être détectée par des systèmes de sécurité avancés capables d’analyser les modèles de communication inhabituels, même à travers des services cloud légitimes.
L’arsenal numérique de LongNosedGoblin
LongNosedGoblin dispose d’un éventail d’outils spécialisés conçus pour la collecte d’informations, la surveillance à long terme et l’exfiltration de données sensibles. Cet arsenal témoigne d’une approche méthodique et d’une connaissance approfondie des besoins en renseignement dans les environnements gouvernementaux.
Collecte d’informations et surveillance
L’un des premiers outils déployés dans les réseaux victimes est NosyHistorian, une application développée en C# et .NET qui collecte l’historique de navigation à partir de Google Chrome, Microsoft Edge et Mozilla Firefox. Les données volées aident les opérateurs à comprendre le comportement des utilisateurs et à décider où déployer des malwares supplémentaires.
Un autre composant, NosyDoor, se concentre sur la reconnaissance du système et l’exécution de tâches. Il collecte des métadonnées telles que le nom de la machine, le nom d’utilisateur, la version du système d’exploitation et les détails des processus en cours. Ces informations sont envoyées au service de commande et de contrôle.
NosyDoor récupère également des fichiers de tâches contenant des instructions. Les commandes prises en charge incluent l’exfiltration de fichiers, la suppression de fichiers et l’exécution de commandes shell, donnant aux attaquants un contrôle continu sur les systèmes infectés.
Exemple d’utilisation réelle : Dans un cas observé par ESET, les attaquants ont utilisé un lanceur d’arguments pour exécuter un outil d’enregistrement vidéo, probablement FFmpeg, afin de capturer l’audio et la vidéo des systèmes compromis. Cette capacité de surveillance avancée démontre l’intention du groupe de mener une surveillance approfondie plutôt que des simples opérations de vol de données.
Outils spécialisés pour le vol de données
LongNosedGoblin s’appuie sur plusieurs outils spécialisés pour collecter des données sensibles :
- NosyStealer : Cible les données de navigateur stockées dans Microsoft Edge et Google Chrome, élargissant les renseignements collectés plus tôt dans la chaîne d’attaque.
- NosyDownloader : Gère la livraison de charges utiles. Il exécute une série de commandes obfusquées et charge des malwares supplémentaires directement en mémoire, réduisant les artefacts sur le disque et rendant l’analyse forensique plus difficile.
- NosyLogger : Un keylogger en C# et .NET que les chercheurs évaluent comme une version modifiée du projet open-source DuckSharp. Le keylogging soutient le vol d’informations d’identification et la surveillance de l’activité utilisateur sur le long terme.
Ces outils reflètent une approche systématique de la collecte d’informations, avec chaque composant remplissant un rôle spécifique dans la chaîne d’espionnage. L’utilisation de .NET et de C# pour la plupart de ces outils permet une relative discrétion, car ces technologies sont largement présentes dans les environnements Windows d’entreprise.
Infrastructures de commande et de contrôle
L’une des caractéristiques les plus sophistiquées de LongNosedGoblin est son utilisation d’infrastructures de commande et de contrôle (C2) hébergées sur des services cloud légitimes. Cette approche permet au groupe de masquer son trafic malveillant au sein des communications d’entreprise normales.
Outre OneDrive, Google Drive et Yandex Disk, les chercheurs ont identifié un proxy SOCKS5 inverse qui fournit un accès réseau distant via les hôtes infectés. Cet outil permet aux attaquants d’utiliser les machines compromises comme relais pour accéder à d’autres ressources internes ou externes, compliquant encore davantage la détection et l’attribution des activités.
Cette infrastructure flexible et distribuée représente un défi significatif pour les équipes de sécurité, qui doivent non seulement détecter les communications malveillantes mais aussi comprendre leurs patterns et leurs destinations potentielles.
Tableau comparatif des outils de LongNosedGoblin
| Outil | Langage de développement | Fonction principale | Méthode de dissimulation |
|---|---|---|---|
| NosyHistorian | C#/.NET | Collecte d’historique de navigation | Intégration dans le trafic légitime |
| NosyDoor | C#/.NET | Reconnaissance système et exécution de tâches | Obfuscation des commandes |
| NosyStealer | C#/.NET | Vol de données de navigateur | Chargement direct en mémoire |
| NosyDownloader | C#/.NET | Livraison de charges utiles | Obfuscation et chargement mémoire |
| NosyLogger | C#/.NET | Keylogging | Masquage sous forme de processus légitime |
| Proxy SOCKS5 | Non spécifié | Accès réseau distant | Utilisation de protocoles réseau standard |
Protéger les gouvernements contre cette menace émergente
Face à des menaces sophistiquées comme LongNosedGoblin, les organisations gouvernementales doivent mettre en place des stratégies de défense multicouches qui combinent détection, prévention et réponse aux incidents. L’exploitation des Group Policy représente un défi particulier, car ces fonctionnalités sont essentielles à l’administration des grands réseaux Windows.
Détection des abus des Group Policy
La détection des abus des Group Policy nécessite une surveillance attentive des activités associées aux objets de stratégie de groupe. Les équipes de sécurité devraient :
- Mettre en place une journalisation détaillée de toutes les modifications apportées aux GPO
- Surveiller l’exécution de scripts et d’exécutables via les Group Policy
- Détecter les schémas inhabituels d’application des stratégies aux postes de travail
- Utiliser des outils d’analyse comportementale pour identifier les activités suspectes liées aux GPO
En pratique, les administrateurs peuvent configurer des alertes pour les événements de sécurité Windows (Event ID 5145 pour l’accès aux objets de stratégie de groupe) et examiner régulièrement les journaux d’application des stratégies pour détecter toute activité anormale.
« La défense contre des acteurs comme LongNosedGoblin nécessite une approche proactive qui va au-delà des simples protections de périmètre. Il est crucial de comprendre comment les fonctionnalités administratives légitimes peuvent être détournées et de mettre en place des contrôles appropriés pour prévenir ces abus », souligne Peter Strýček, chercheur ESET ayant participé à l’investigation.
Mesures de défense proactives
Au-delà de la détection, les organisations doivent implémenter des mesures de défense proactives pour réduire l’exposition aux abus des Group Policy :
- Principe du moindre privilège : Limiter strictement les permissions d’administration sur les objets Group Policy pour réduire l’impact d’une compromission.
- Segregation des rôles : Séparer les responsabilités entre l’administration système et la sécurité pour garantir que toute modification des GPO soit validée par plusieurs parties.
- Validation des GPO : Mettre en place un processus d’approbation pour les nouveaux objets de stratégie de groupe avant leur déploiement en production.
- Déploiement progressif : Appliquer les GPO à des groupes de test limités avant leur déploiement à l’échelle de l’organisation.
- Sécurisation des contrôleurs de domaine : Protéger particulièrement les contrôleurs de domaine, qui sont la source de tous les objets Group Policy.
Ces mesures, bien que simples en apparence, peuvent considérablement compliquer la tâche des attaquants qui cherchent à exploiter les Group Policy pour propager des malwares.
Renforcement de la sécurité des environnements Windows
Pour contrer les techniques employées par LongNosedGoblin, les organisations doivent adopter une approche holistique de la sécurité des environnements Windows :
- Mise à jour régulière : Maintenir tous les systèmes à jour avec les derniers correctifs de sécurité, en particulier ceux qui concernent les fonctionnalités d’administration comme les Group Policy.
- Contrôles d’accès renforcés : Implémenter des contrôles d’accès stricts sur les ressources sensibles, même pour les comptes administrateurs.
- Surveillance du trafic C2 : Utiliser des solutions avancées capables de détecter et bloquer les communications avec des infrastructures de commande et de contrôle, même celles utilisant des services cloud légitimes.
- Défense en profondeur : Déployer plusieurs couches de sécurité,包括 antivirus, EDR (Endpoint Detection and Response), et systèmes de prévention des intrusions.
- Formation à la sécurité : Sensibiliser les utilisateurs aux techniques d’ingénierie sociale et aux risques associés à l’exécution de pièces jointes ou au téléchargement de fichiers suspects.
Selon une étude récente de l’ANSSI, les organisations ayant implémenté une défense en profondeur avec des contrôles stricts sur les objets administratifs ont réduit de 78% leur exposition aux menaces avancées exploitant des fonctionnalités système légitimes.
Conclusion : une vigilance accrue nécessaire face à cette nouvelle menace
La découverte du groupe LongNosedGoblin par les chercheurs d’ESET met en lumière une évolution préoccupante des tactiques d’espionnage numérique. En exploitant des fonctionnalités administratives essentielles comme les Group Policy, les acteurs étatiques sophistiqués peuvent mener des opérations de surveillance persistantes avec une discrétion remarquable.
Les gouvernements et les organisations holding des données sensibles doivent prendre conscience de cette menace émergente et adapter leurs stratégies de sécurité en conséquence. La défense contre des acteurs comme LongNosedGoblin ne repose pas sur une solution unique mais sur une approche multicouches qui combine une surveillance attentive, des contrôles stricts sur les fonctionnalités administratives, et une culture de sécurité robuste.
Face à des menaces qui continuent d’évoluer et de se raffiner, la vigilance et l’adaptation restent les meilleurs atouts pour protéger les infrastructures critiques et les données sensibles contre les cybermenaces persistantes avancées.