La Corée du Nord a la fibre slave

La Corée du Nord a la fibre slave

Le Dimanche 1er Octobre 2017, un article du Washington Post rapporte la fin d’attaques informatiques menées par l’United States Cyber Command contre la Corée du Nord, dont l’accès Internet repose jusqu’alors sur l’opérateur China Unicom.

Entre le 1er et le 2 Octobre, deux chercheurs observent des variations dans le routage du trafic provenant de la Corée du Nord, avec l’apparition d’un nouvel opérateur : Transtelecom (TTK), une filiale de Russian Railways, dont l’activité repose entre autres sur l’installation de fibre le long des voies de chemin de fer.

Le pont de l’amitié

Sur le plan du tracé de son réseau, Transtelecom a semble-t’il une branche atteignant la frontière de la Corée du Nord :

Cette portion de plan peut éventuellement faire penser au Pont de l’Amitié Corée du Nord – Russie, un pont ferroviaire sur la frontière entre la Corée du Nord et la Russie. Franchissant le Tumen, il relie la ville de Khassan dans le kraï du Primorié en Russie et la ville de Tumangang située dans la zone économique spéciale de Rason en Corée du Nord.

On retrouve une trace du projet en 2006 lors de la signature d’un projet pilote pour rétablir le trafic sur la section ferrovière de 40 km Khassan-Radjin entre Vladimir Yakunin, président des chemins de fer russes et son homologue nord-coréen Kim Young Sam. Adossé au projet, le président de TransTelecom, filiale des chemins de fer russes, Sergey Lipatov, signe alors avec le Ministère des Communications un accord de coopération pour la construction et l’exploitation conjointe d’une ligne de transmission à fibre optique sur la section reconstruite du chemin de fer transcoréen. Avec les sanctions de l’ONU et les retards de chantier, il faudra plusieurs années à la société projet – RasonConTrans pour mettre en œuvre ce projet. La connexion de la Corée du Nord aux communications internet aurait eu lieu en 2007, inscrivant le pays dans une vaste infrastructure eurasienne.

Inauguration de la ligne en 2011

Un peu de vocabulaire : Autonomous System (AS)

Un Autonomous System (abrégé AS), est un ensemble de réseaux informatiques intégrés à Internet . Un AS est généralement sous le contrôle d’une entité ou organisation unique, typiquement un fournisseur d’accès à Internet. Chaque AS est identifié par un numéro de 16 bits (ou 32 depuis 2007, selon la RFC 48931) , appelé « Autonomous System Number » (ASN). Il est affecté par les organisations qui allouent les adresses IP, les Registres Internet régionaux (RIR). Les numéros d’AS (les ASN) sont utilisés par le protocole de routage Border Gateway Protocol (BGP) entre les systèmes autonomes (les AS).

Le principal AS de la Corée du Nord est AS131279, correspondant aux plages d’adresses IP suivantes :

  • 175.45.176.0/24
  • 175.45.177.0/24
  • 175.45.178.0/24
  • 175.45.179.0/24

(Pour une explication de la notion de /24, voir )

Chemins des données transitant vers et depuis AS131279

Pour transiter d’un machine locale à une machine connectée au réseau, les paquets IP sont acheminés vers la destination en passant d’un routeur à un autre. Via la commande système traceroute, il est possible de reconstituer l’intégralité de ce chemin, qui va également nous fournir les adresses IPs des équipements par lesquels le paquet de données va passer.

Cette commande peut également être lancée online, via des outils comme : https://hackertarget.com/online-traceroute/. En choisissant arbitrairement des adresses IP sur chacune des plages listées au paragraphe précédent, on constate que les paquets venant/allant de/vers 175.45.176.0/24, 175.45.178.0/24 et 175.45.179.0/24 semblent transiter via China Unicom.

Par contre, ceux venant/allant de/vers 175.45.177.0/24 semblent transiter via TransTelecom :

On pourra éventuellement postuler que dans le sous-domaine Korea-Posts-gw.transtelecom.net, le « gw » signifie gateway (en français : passerelle).

Quelques recherches sur virustracker

Le site virustracker.net est une base de données qui permet de procéder à des recherches d’infections par des botnets, en renseignant une adresse IP ou une plage d’adresses IP. Ainsi, sur 175.45.177.0/24, on trouve 1000 « Infection Records » :

Le site permet de télécharger l’intégralité des enregistrements trouvés dans un fichier au format .csv, lesquels sont horodatés. En les regardant plus en détail, on constate qu’ils commencent au 2 Juin 2015, s’interrompent au 19 Mars 2016 et reprennent le 13 Octobre 2017 pour courir jusqu’au 6 Mars 2020. Les observations faites par Dyn autour de TransTelecom sont datées au début d’Octobre 2017.


Les informations récupérées dans le cadre de cet article ne permettent pas forcément de tirer des conclusions fortes quant aux liens entre la Corée du Nord et TransTelecom. Cependant, rien n’empêche non plus de trouver interpellante la concomitance de dates entre les logs VirusTracker et l’apparition de TransTelecom comme fournisseur d’accès de la Corée du Nord. Dans un futur proche, il pourra être tout à fait pertinent de surveiller de plus belle le trafic provenant de Corée du Nord et transitant via la Russie.

Pour aller plus loin

Syrian Telecom : portail gouvernemental et attaques informatiques…

Syrian Telecom : portail gouvernemental et attaques informatiques…

Dans l’article OpenFacto du 25 mars 2020 sur le télétravail, nous présentions le principe global de fonctionnement de l’outil Shodan, qui est de nouveau au cœur du présent article. Ici, toujours sur Shodan, et grâce à la combinaison de quelques filtres de recherche, nous avons découvert que le même fournisseur d’accès Syrien héberge à la fois le portail officiel du gouvernement et des services susceptibles d’être dédiés à des attaques informatiques…
Voici comment.

Shodan : filtres de recherche et résultats

En utilisant la syntaxe suivante, Shodan nous permet de filtrer les résultats de recherche par pays :

country:codepays

Pour chaque pays, on va utiliser un code de deux lettres, dont la liste est disponible ici. Ainsi, pour la Syrie, on obtient les résultats suivants :

Shodan permet également la combinaison de filtres pour préciser un peu cette recherche par port

country:SY port:22

Le port 22 est traditionnellement utilisé par le protocole SSH, un outil qui facilite les connexions sécurisées entre deux systèmes, en autorisant la prise en main à distance. Vous comprenez donc que la requête ci-dessus permet de lister les services SSH découverts en Syrie, qui sont en nombre beaucoup moins conséquent :

En regardant de plus près les résultats de recherche ci-dessus, on constate que deux d’entre eux sont étiquetés comme « scanner » (à gauche) :

Lorsqu’une adresse IP trouvée par Shodan comporte une telle étiquette, elle est accompagnée de la mention : « This IP has been observed scanning the Internet. » Cela signifie que les services hébergés par cette adresse IP parcourent l’intégralité du web à la recherche de machines vulnérables, et ce dans le but possible de procéder à des attaques informatiques.

Exploration du sous-réseau

Les deux adresses IP trouvées ci-dessus font partie du même réseau /24, à savoir :

  • a.b.c.x
  • a.b.c.y

Dans shodan, un autre filtre de recherche permet de lister toutes les adresses IP trouvées sur un même sous-réseau :

net:a.b.c.0/24

Parmi les résultats de recherche, on trouve la machine suivante, hébergée par Syrian Telecom comme toutes les autres machines du même sous réseau /24 :

Exploration sécurisée d’URLs

Dans la capture d’écran précédente, l’icône suivante permet d’accéder directement à l’URL trouvée par Shodan, non plus via https://www.monadresse.com mais http://monadresseIP:monport :

En faisant un clic droit sur l’icône, on va sélectionner « Copier l’adresse du lien » et la renseigner dans le moteur de recherches du site urlscan.io.

urlscan.io est un scanner d’URL qui permet d’obtenir des informations sur des sites web potentiellement frauduleux, et qui fournit en sortie une capture d’écran des pages capturées. Plus précisément, dans le cas qui nous concerne, cet outil permet de parcourir des sites web à notre place, sans laisser de trace(s) d’accès ni risquer une éventuelle infection.

On constate alors que le site web trouvé par Shodan est le portail officiel du gouvernement Syrien :

Corroboration des résultats trouvés

Lorsque les administrateurs système d’équipements informatiques constatent des requêtes suspectes venant d’adresses IP, ils ont à leur disposition des moteurs de listes noires. Sur ces outils, ils peuvent à la fois renseigner le détail des requêtes suspectes reçues, et rechercher si les adresses IPs en question n’ont pas déjà été la source d’autres requêtes frauduleuses.

Ainsi, sur abuseipdb.com, on remarque que huit adresses IP sur ce range sont signalées :

Parmi celles-ci, une des deux adresses a déjà été mentionnée plus de 600 fois depuis le début de l’année 2020, et est toujours en activité :

Même chose pour la seconde adresse IP, mentionnée plus de 400 fois depuis Décembre 2019, et elle aussi, toujours en activité :

Pour l’anecdote, on notera que durant la rédaction de cet article, le compteur de ces signalements d’abus a continué à tourner!….

Pour aller plus loin

Le dernier rapport d’activité de Syrian Telecom accessible en ligne date de… 2011, conflit oblige.
Mais cet opérateur de télécommunication, très lié au régime syrien (Le chef de l’Etat en est le président…) mène depuis longtemps des activités « agressives » sur et depuis son réseau :

  • sur son territoire pour la surveillance des communications du pays (il est intimement lié à l’affaire Qosmos, par exemple entre 2009 et 2011. Lire à ce sujet les articles de Mediapart et de reflets.info)
  • A l’international, avec au moins deux détournements de trafic (BGP Hijack) identifiés en 2014 et en 2015 par exemple…

Pour autant, il convient d’être particulièrement prudent quant à l’interprétation des résultats des observations ci-dessus et de préciser que l’attribution formelle à l’opérateur des scans opérés par la machine syrienne est impossible à faire sur la base de ces quelques éléments.

En effet, la machine observée ci-dessus, par exemple, fait tourner un certain nombre de services (serveur ftp, web, etc…) qui s’ils apparaissent assez légitimes, n’en sont pas moins obsolètes dans leurs versions déployées et particulièrement sensibles aux vulnérabilités (CVE).
L’hypothèse d’une compromission de ce serveur par un ou plusieurs autres attaquants, nationaux ou internationaux, dans le but de masquer leur(s) réelle(s) origine(s), est ainsi tout à fait envisageable.

Outils

Pour réaliser ces recherches, nous utilisons les services de Shodan. L’accès à l’application est gratuite pour quelques recherches élémentaires mais payante pour des recherches plus approfondies. Les tarifs peuvent être un peu prohibitifs pour les particuliers mais sachez qu’en général, il y a toujours quelques promotions pour le Black Friday par exemple.

Il est également possible d’utiliser Censys.io ou encore l’application française Onyphe

Ajout du 5 avril 2020 : @Mbahal nous recommande également le site internet greynoise.io