Evolution des menaces informatiques au 3e trimestre 2016

Contenu

Statistiques

Aperçu

Attaques ciblées et campagnes de malwares

Dropping Elephant

Les campagnes d’attaques ciblées ne doivent pas forcément être à la pointe du progrès pour être efficaces. Au mois de juillet 2016, nous vous parlions d’un groupe baptisé Dropping Elephant (connu également sous les noms de « Chinastrats » ou « Patchwork »). Grâce à un cocktail composé d’ingénierie sociale, d’un ancien code d’exploitation et d’un malware PowerShell, ce groupe a réussi à voler des données sensibles auprès de ses victimes.

Ce groupe, actif depuis novembre 2015, s’attaque à des organisations diplomatiques et économiques de haut vol qui entretiennent des liens avec la diplomatie chinoise. Les sujets utilisés par les attaquants pour piéger leur victime confirment cet intérêt.

Les attaquants utilisent un mélange de messages d’harponnage et d’attaques selon la technique du « point d’eau ». Dans le premier cas, le message est accompagné d’un document avec du contenu distant. Quand la victime ouvre le document, une requête ping est envoyée au serveur de commande des attaquants. La victime reçoit alors un deuxième message d’harponnage qui contient un document Word ou un fichier PowerPoint qui exploitent d’anciennes vulnérabilités, soit CVE-2012-0158 et CVE-2014-6352 respectivement. Une fois que la charge utile a été exécutée, un exécutable AutoIT compacté par UPX est téléchargé sur le système. Il permet de télécharger d’autres composants du serveur de commande et le vol des données sur l’ordinateur de la victime peut débuter.

Les attaquants ont également mis en place un site de « point d’eau » sur lequel des articles de sites légitimes sont téléchargés. Le visiteur qui souhaite l’article en entier est invité à télécharger un fichier PowerPoint : ce fichier contient le reste du document et invite également la victime à télécharger un objet malveillant. Parfois, les attaquants envoient le lien vers le site du « point d’eau » par message électronique. Ils utilisent également des comptes Google+, Facebook et Twitter afin de promouvoir leur référencement et toucher un plus grand cercle de victimes potentielles.

Les succès engrangés par le groupe Dropping Elephant sont surprenants car aucun code d’exploitation de type 0jour, ni aucune technique de pointe n’a été utilisé pour cibler ces victimes de haut vol. Il est évident que l’application des correctifs et l’éducation du personnel sur les questions de sécurité pourraient limiter la réussite de telles attaques. Au début de l’année, nous avions prédit que les groupes APT consacreraient moins d’efforts au développement d’outils sophistiqués et utiliseraient plus souvent des malwares prêts à l’emploi. Dropping Elephant démontre une fois de plus que des investissements modestes et l’utilisation d’outils génériques peuvent être très efficaces quand ils sont associés à des techniques d’ingénierie sociale de qualité élevée.

ProjectSauron

En septembre, notre plateforme de lutte contre les attaques ciblées avait identifié une anomalie dans le réseau d’un de nos clients. L’enquête réalisée avait débouché sur l’identification de ProjectSauron, un groupe actif depuis juin 2011 spécialisé dans le vol de données confidentielles d’organisations établies en Russie, en Iran et au Rwanda ainsi que probablement dans d’autres pays. Nous avons identifié plus de 30 victimes : toutes les organisations ciblées jouaient un rôle clé dans la prestation de services aux États et appartenaient aux secteurs public, militaire, de la recherche scientifique, des télécommunications et des finances.

Evolution des menaces informatiques au 3e trimestre 2016

ProjectSauron cherche tout particulièrement à accéder aux communications chiffrées. Il les recherchent à l’aide d’une plateforme de cyberespionnage complexe et modulable qui intègre un ensemble d’outils et de techniques uniques. Les coûts impliqués, la complexité, la persistance et l’objectif de l’opération (à savoir voler des données secrètes dans des organisations liées au gouvernement) laissent supposer que la campagne ProjectSauron est sponsorisée par un Etat. ProjectSauron donne l’impression d’un groupe expérimenté qui a déployé des efforts considérables pour tirer des enseignements d’autres attaques très sophistiquées dont Duqu, Flame, Equation et Regin au point d’adopter certaines des techniques les plus révolutionnaires et d’améliorer les tactiques pour ne pas être découverts.

Evolution des menaces informatiques au 3e trimestre 2016

Le rejet délibéré de modèles est une des principales caractéristiques de ProjectSauron : les implants utilisés par le groupe sont adaptés à chaque victime et ils ne sont jamais réutilisés. Cela rend le recours aux indicateurs de compromission traditionnels pratiquement inutile. Grâce à cette démarche et à l’utilisation de différents canaux pour extraire les données volées (canaux légitimes de courrier électronique et DNS), ProjectSauron est en mesure de mener des campagnes d’espionnage à long terme et bien dissimulées dans les réseaux ciblés.

Caractéristiques principales de ProjectSauron :

  • implants principaux uniques pour chaque victime ;
  • utilisation de scripts de mise à jour de logiciels légitimes ;
  • recours à des portes dérobées qui téléchargent de nouveaux modules ou exécutent des instructions dans la mémoire uniquement ;
  • accent placé sur les informations en rapport avec les logiciels personnalisés de chiffrement réseau ;
  • utilisation d’outils de bas niveau orchestrée par des scripts LUA de haut niveau (l’utilisation de scripts LUA est très rare et a été observée antérieurement uniquement dans les attaques Flame et Animal Farm) ;
  • utilisation de disques USB préparés spécialement pour accéder aux réseaux derrière un air gap, et dotés de compartiments cachés pour accueillir les données volées ;
  • utilisation de multiples mécanismes d’extraction afin de masquer le transfert de données dans le trafic quotidien.

La méthode employée pour réaliser l’infection initiale de la victime est toujours inconnue.

L’utilisation une fois de méthodes uniques comme le serveur de commande, les clés de chiffrement, etc. en plus de l’adoption de technologies de pointe issues d’autres grands groupes de menace, est une nouveauté. La seule protection efficace contre de telles menaces consiste à déployer plusieurs couches de sécurité, avec des capteurs capables de détecter la moindre anomalie dans le flux de travail de l’organisation, sans oublier la collecte de renseignements sur les menaces et les analyses d’investigation numérique. Consultez cette page pour en savoir plus sur les méthodes existantes pour lutter contre ces menaces.

ShadowBrokers

Au mois d’août, une personne ou un groupe baptisé « ShadowBrokers » a affirmé avoir en sa possession des fichiers appartenant au groupe Equation. Cette personne ou ce groupe proposait deux archives chiffrées à l’aide de PGP. Le mot de passe d’accès à la première archive était communiqué gratuitement tandis que le deuxième était offert pour 1 million de BTC (1/15 des bitcoins en circulation).

Comme nous avions découvert le groupe Equation en février 2015, nous étions intéressés par l’étude de la première archive. Cette archive contient près de 300 Mo de codes d’exploitation pour pare-feu, d’outils et de scripts sous des cryptonymes tels que BANANAUSURPER, BLATSTING et BUZZDIRECTION. La création de la majorité de ces fichiers remonte à au moins trois ans, avec des horodatages de modification compris entre août et octobre 2013.

Evolution des menaces informatiques au 3e trimestre 2016

Le groupe Equation utilise énormément les algorithmes de chiffrement RC5 et RC6 (ceux-ci ont été mis au point par Ronald Rivest en 1994 et 1998 respectivement). Ce cadeau fait par Shadowbrokers comprend 347 instances différentes de RC5 et RC6. Cette mise en oeuvre possède des fonctions identiques à celles découvertes dans le malware Equation. Elle n’a été vue nul part ailleurs.

Evolution des menaces informatiques au 3e trimestre 2016

La ressemblance du code nous amène à croire, avec un coefficient de certitude élevé, que les outils de la fuite ShadowBrokers sont liés au malware du groupe Equation.

Operation Ghoul

Nous avons remarqué un mois de juin une vague de messages d’harponnage avec des pièces jointes malveillantes. Les messages, reçus principalement par des cadres moyens ou supérieurs de plusieurs entreprises, semblaient provenir d’une banque aux Emirats arabes unis. Le message offrait des conseils de paiement de la banque et possédait un document SWIFT en pièce jointe. Dans la réalité, la pièce jointe contenait un malware. Une enquête un peu plus poussée permit de voir que les attaques de juin constituaient l’opération la plus récente d’un groupe sur les traces duquel les chercheurs étaient depuis plus d’un an et que Kaspersky Lab avait baptisé Operation Ghoul.

Le groupe avait réussi à attaquer plus de 130 organisations réparties entre 30 pays, dont l’Espagne, le Pakistan, les Emirats arabes unis, l’Inde, l’Egypte, le Royaume-Uni, l’Allemagne et l’Arabie saoudite. Sur la base des informations obtenues après avoir appliqué la technique du sink-hole à certains serveurs de commande, on peut affirmer que la majorité des organisations ciblées sont actives dans les secteurs de l’industrie et de l’ingénierie. Mais il y avait également des organisations issues du transport, du secteur pharmaceutique, de la fabrication, du commerce et de l’enseignement.

Evolution des menaces informatiques au 3e trimestre 2016

Le malware utilisé par le groupe Operation Ghoul repose sur le kit de logiciel espion commercial Hawkeye, en vente livre sur le dark Web. Une fois installé, le malware recueille les données intéressantes sur l’ordinateur de la victime, y compris les frappes au clavier, les données du Presse-papier, les informations d’authentification sur les serveurs FTP, les données des comptes dans les navigateurs, les clients de messagerie instantanée, les clients de messagerie électronique et les informations sur les applications installées. Ces données sont envoyées aux serveurs de commande du groupe.

Il semblerait que cette campagne poursuit un objectif financier : toutes les organisations ciblées détiennent des données de valeur qui peuvent être revendues sur le marché noir.

Les succès de l’ingénierie sociale en tant que méthode d’accès à l’intérieur des organisations souligne la nécessité pour les entreprises d’éduquer le personnel et de placer la formation au cœur de leurs stratégies de sécurité.

Histoires de malware

Lurk

En juin 2016, nous avions publié un rapport sur le trojan bancaire Lurk qui était utilisé pour vider de manière systématique les comptes d’organisations commerciales en Russie, dont de nombreuses banques. D’après la police, les pertes provoquées par ce Trojan s’élèveraient à 45 millions de dollars américains.

Dans le cadre de nos recherches sur ce trojan, nous avons remarqué que les victimes de Lurk avaient également installé le logiciel d’administration à distance Ammyy Admin. Alors que nous ne prêtions pas une grande attention à ce point au début, nous avons constaté que le site Internet officiel d’Ammyy Admin avait été compromis et que le groupe Lurk l’exploitait dans le cadre d’une attaque selon la méthode du « point d’eau » : le Trojan était téléchargé sur l’ordinateur de la victime en même temps que le logiciel légitime.

mw_q3_fr_6

Le dropper sur le site Ammyy Admin a commencé à distribuer un trojan différent, Trojan-PSW.Win32.Fareit, le 1er juin 2016, soit le jour de l’arrestation des prétendus créateurs du trojan Lurk. Il semblerait que les individus qui avaient compromis le site Internet d’Ammyy Admin étaient plus que ravis de vendre leur dropper de trojan à toute personne désireuse de diffuser des malwares via le site.

Le trojan bancaire n’était pas la seule activité cybercriminelle du groupe Lurk. Il avait également développé le kit d’exploitation Angler, un ensemble de malwares conçus pour exploiter les vulnérabilités dans un logiciel répandu afin d’installer le malware. Le kit avait été développé à l’origine afin de fournir un canal de livraison fiable et efficace pour le malware du groupe. Toutefois, à partir de 2013, le groupe a commencé à louer le kit à toute personne disposée à mettre le prix, probablement afin de pouvoir payer l’énorme infrastructure réseau e le « personnel » nombreux du groupe. Le kit d’exploitation Angler allait devenir un des outils les plus puissants disponibles dans le milieu criminel clandestin. A la différence du trojan Lurk qui cherchait ses victimes exclusivement en Russie, Angler a été utilisé par des attaquants du monde entier, y compris par les groupes à l’origine des ransomwares CryptXXX et TeslaCrypt ou du trojan bancaire Neverquest (celui-ci a été utilisé contre près d’une centaine de banques). Les opérations d’Angler ont été interrompues après l’arrestation des membres présumés du groupe Lurk.

Le groupe était également impliqués dans des activités secondaires. Pendant plus de cinq ans, le groupe est passé du développement d’un malware très puissant capable de voler automatiquement de l’argent via un logiciel de services bancaires à distance aux vols sophistiqués impliquant une fraude à la permutation de carte SIM et au piratage spécialisé dans les structures internes des banques.

Kaspersky Lab a coopéré avec la police russe dans le cadre de l’enquête sur le groupe à l’origine du trojan Lurk. Les arrestations marquaient la fin d’une enquête de six ans menées par notre équipe d’enquête sur les incidents informatiques. Le compte-rendu de cette enquête est accessible ici.

Ransomware

Il ne se passe pas un mois sans que la presse n’évoque des attaques de ransomware : par exemple, un rapport récent indiquait que 28 NHS Trusts au Royaume-Uni avaient été victimes de ransomware au cours des 12 derniers mois. La majorité des attaques de ransomware cible les particuliers, mais un pourcentage non négligeable cible également les entreprises (environ 13 pour cent en 2015-16). L’Etude 2016 de Kaspersky Lab sur les risques contre la sécurité de l’information a indiqué que près de 42 % des P.M.E. avaient été victimes de ransomwares au cours des 12 mois précédent août 2016.

Une campagne de ransomwares récente exigeait une rançon faramineuse de deux bitcoins (environ 1 300 dollars). Ce ransomware en particulier, baptisé Ded Cryptor, remplace le fond d’écran de l’ordinateur de la victime par l’image d’un Père Noël menaçant.

mw_q3_fr_7

Le fonctionnement de ce malware (à savoir les fichiers chiffrés, l’image qui fait peur et la demande de rançon) n’a rien de remarquable, mais les origines de cette attaque sont intéressantes. Elle repose sur le code de ransomware open source EDA2 développé par Utku Sen dans le cadre d’une expérience ratée. Utku Sen, un expert turc en sécurité, avait créé un ransomware et avait publié le code en ligne. Il savait que les cybercriminels allaient utiliser ce code pour créer leur propre malware de chiffrement, mais il espérait que cette opération allait permettre aux chercheurs de comprendre la manière de penser et de programmer des cybercriminels et de pouvoir ainsi mieux lutter contre les ransomwares.

Ded Cryptor n’était qu’un des nombreux ransomware nés d’EDA2. Fantom est une autre application similaire que nous avons vue récemment. Ceci était intéressant, non seulement pour la connexion avec EDA2, mais parce qu’il simulait un authentique écran de mise à jour Windows.

mw_q3_fr_8

Cet écran est affiché pendant que Fantom chiffre les fichiers de la victime en arrière plan. Le faux programme de mise à jour est exécuté en mode plein écran, masque la vue sur les autres applications et éloigne l’attention de la victime de ce qui se passe vraiment. Une fois que le chiffrement est terminé, Fantom affiche un message plus traditionnel.

mw_q3_fr_9

Il ne fait aucun doute que le grand public est de plus en plus conscient du problème, mais il est évident que les utilisateurs et les organisations pourraient faire plus pour lutter contre cette menace ; et les cybercriminels exploitent la situation à leur avantage, comme en témoigne clairement l’augmentation du nombre d’attaques de ransomwares.

Il est primordial que vous limitiez votre exposition aux ransomwares (et nous vous présentons ici et ici les étapes importantes que vous pouvez adopter). Ceci étant dit, la sécurité à 100 % n’existe pas. Il est donc crucial également d’atténuer les risques. Vous ne pouvez pas vous passer d’une copie de sauvegarde et ce, afin de ne pas vous retrouver dans la situation où vos seules options seraient payer la rançon ou perdre vos données. Il n’est jamais conseillé de payer la rançon.

Si vous deviez vous retrouver face à des fichiers chiffrés sans copie de sauvegarde, demandez à l’éditeur de votre logiciel antivirus s’il peut vous aider et consultez également le site No More Ransom au cas où les clés indispensables au déchiffrement de vos données s’y trouveraient. Ce site est le fruit d’une initiative de la brigade nationale de lutte contre les délits technologiques de la police des Pays-Bas, du Centre européen de lutte contre la cybercriminalité d’Europol, de Kaspersky Lab et d’Intel Security qui vise à permettre aux victimes de ransomwares de récupérer leurs données chiffrées sans payer les cybercriminels.

Dans le cadre d’une séance récente de « questions/réponses avec les experts« , Jornt van der Wiel, membre de l’Equipe internation de recherche et d’analyse de Kaspersky Lab, a fourni des informations utilise sur les ransomwares.

Fuites de données

Les données personnelles ont de la valeur et il n’est dès lors pas étonnant que les cybercriminels ciblent les prestataires de services en ligne, dans l’espoir de voler de gros volumes de données lors d’une seule attaque. Nous nous sommes habitués à la succession de fuites de données signalée dans les médias. Ce trimestre n’aura pas été une exception : il y a eu des fuites de données sur le forum officiel de DotA 2, chez Yahoo et d’autres.

Certaines de ces attaques ont débouché sur le vol d’imposants volumes de données, ce qui a souligné les lacunes de nombreuses entreprises en matière de protection. Toute organisation qui détient des données personnelles se doit d’adopter des mesures de protection efficace. Celles-ci doivent prévoir notamment le hachage et le salage des mots de passe des clients et le chiffrement d’autres données sensibles.

Les clients peuvent limiter les dégâts liés à une éventuelle atteinte à la sécurité chez un prestataire en ligne en veillant à toujours utiliser des mots de passe uniques et complexes : le mot de passe idéal compte au moins 15 caractères et doit être composé de lettres, de chiffres et de symbole de l’ensemble du clavier. Il est possible d’utiliser une application de gestion des mots de passe qui s’occupera automatiquement de l’ensemble de ces détails.

Pensez également à privilégier l’identification à deux facteurs, si le prestataire offre cette option. Dans le cadre de ce système, les clients doivent saisir un code généré par un token ou envoyé à un appareil mobile pour pouvoir accéder au site, ou du moins pour modifier les paramètres du compte.

Vu l’impact potentiel que peut avoir une fuite de données, il n’est pas étonnant de voir que les autorités de réglementations s’intéressent de près au problème. Ainsi, au Royaume-Uni, l’Information Commissioner’s Office (ICO) a récemment imposé une amende record de 442 279 EUR à Talk Talk pour « ne pas avoir mis en oeuvre les mesures de cybersécurité les plus élémentaires » suite à des attaques menées contre la société en octobre 2015. D’après l’ICO, cette amende doit « servir de mise en garde pour les autres et leur rappeler que la cybersécurité n’est pas le problème du service informatique mais du conseil d’administration ».

Le Règlement général sur la protection des données de l’UE, qui entrera en vigueur en mai 2018, obligera les entreprises à signaler les fuites de données au régulateur, avec à la clé d’importantes amendes pour ne pas avoir sécurisé comme il le fallait les données personnelles. Ce règlement est présenté ici.

Nous sommes revenus sur l’impact de la fuite de données chez Ashley Madison, un an après l’attaque qui avait entraîné la fuite de données de clients et nous proposons quelques conseils aux personnes qui pensent trouver l’amour en ligne (et de bons conseils pour gérer n’importe quel compte en ligne).

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *