Bulletin de Kaspersky sur la sécurité en 2013 Menaces contre les entreprises

Sommaire

Au cours des deux dernières années, le nombre de cyberattaques sérieuses détectées a augmenté à un tel point que de nos jours, personne ne s’étonne lorsqu’une nouvelle attaque est annoncée. Les éditeurs de logiciels antivirus nous abreuvent régulièrement de rapports sur la détection d’un nouveau réseau de zombies ou sur l’émergence d’un programme malveillant rusé capable de récolter des données.

Les sociétés commerciales figurent de plus en plus souvent parmi les victimes potentielles. Selon les résultats d’un sondage réalisé conjointement par Kaspersky Lab et le bureau d’analyse B2B International, 91 % des entreprises interrogées à travers le monde ont été victimes au moins une fois au cours de l’année d’une cyberattaque et 9 % des sociétés ont été victimes d’attaques ciblées.

 

L’utilisation d’ordinateurs et d’autres périphériques numériques à toutes les étapes des processus métier a jeté les bases pour l’exploitation de programmes malveillants destinés à l’espionnage industriel et au vol de données. Les possibilités offertes sont telles que dans un avenir proche, les programmes malveillants pourraient complètement remplacer le délit d’initié au niveau de l’espionnage. Mais les risques pour les entreprises ne se limitent pas à cela. Dans la mesure où le succès d’une activité dépend en partie de la fiabilité des ordinateurs et des canaux de communication entre ceux-ci, les individus malintentionnés peuvent utiliser une multitude de programmes destructeurs : depuis les programmes qui vont chiffrer ou supprimer les données qui constituent une véritable épidémie parmi les entreprises jusqu’aux armées de zombies dociles qui vont accaparer toutes les ressources disponibles des serveurs Internet des entreprises ou du réseau de transfert de données.

Mobiles du crime

  1. Vol d’informations Le vol de données de valeur de l’entreprise, de secrets professionnels ou des données personnelles des employés ou des clients d’une société ainsi que la surveillance des activités d’une entreprise représentent les objectifs de nombreux acteurs : depuis les hommes d’affaires qui engagent des cybercriminels pour s’introduire dans le réseau de concurrents jusqu’aux services d’espionnage de différents pays.
  2. Elimination de données ou blocage des infrastructures. Certains programmes malveillants sont exploités dans des opérations de sabotage : ils doivent éliminer des données importantes ou perturber le fonctionnement de l’infrastructure de la société.  Ainsi, les chevaux de Troie Wiper et Shamoon suppriment les données système sur les postes de travail et les serveurs sans laisser aucune possibilité de récupération.
  3. Vol d’argent. L’infection à l’aide de chevaux de Troie spécialisés capables de voler de l’argent via les systèmes de service bancaire à distance ainsi que les attaques ciblées contre les ressources internes de centres financiers et de compensation provoquent des pertes financières pour les sociétés attaquées.
  4. Dénigrement de la société. Une entreprise prospère et les sites officiels très visités de société, principalement dans le domaine des services sur Internet, attirent les individus malintentionnés. La compromission du site d’une entreprise suivie de l’ajout de liens menant le visiteur vers des ressources malveillantes, l’affichage d’une bannière publicitaire malveillante ou d’un message à caractère politique sur la ressource compromise remettent fortement en question la relation entre les clients et les sociétés.
    Le vol des certificats numériques des sociétés informatiques est un autre type d’incident qui pourrait nuire à la réputation de l’entreprise. Dans certains cas, par exemple pour les sociétés qui possèdent leurs centres publics de certification, la perte de certificats ou l’intrusion dans l’infrastructure de signature numérique peut détruire complètement la confiance du public et entraîner la fin de l’activité.
  5. Dommages financiers. Les attaques DdoS figurent parmi les outils les plus populaires pour ceux qui souhaitent nuire directement à des sociétés ou à des organisations. Les cybercriminels développent de nouvelles méthodes pour organiser de telles attaques. Ainsi, les attaques DdoS peuvent mettre hors service en quelques jours les ressources Internet externes d’une société. Dans ce cas, non seulement les clients sont privés de l’utilisation des services de la société attaquées, ce qui entraîne des pertes directes, mais de plus il n’est pas rare que les clients les abandonnent pour des sociétés plus fiables, ce qui réduit la base client et entraîne des pertes financières à long terme.
    Les attaques de type DNS Amplification sont devenues plus populaires en 2013. Dans ce genre d’attaque, les individus malintentionnés utilisent des réseaux de zombies pour envoyer des requêtes récursives aux serveurs DNS en renvoyant la réponse aux systèmes attaqués. C’est précisément de cette manière que s’est déroulée la plus puissante des attaques DDoS de cette année, l’attaque contre le site du projet Spamhaus.

Organisations cibles

En cas de diffusion massive de programmes malveillants, n’importe quelle société dont les ordinateurs parviendraient à être infectés pourraient devenir la victime des cybercriminels. Ainsi, un cheval de Troie bancaire répandu (comme ZeuS, SpyEye, etc.) peut s’introduire sur le réseau d’une petite entreprise et entraîner des pertes d’argent et un vol de propriété intellectuelle.

D’après les résultats de notre enquête, les sociétés qui auront été le plus victimes d’attaques ciblées (opérations soigneusement planifiées pour l’infection du réseau d’une organisation ou d’un individu en particulier) en 2013 sont les compagnies pétrolières, les entreprises de télécommunications, les centres d’études scientifiques et les sociétés aérospatiales, les constructeurs navals et autres secteurs spécialisés dans le développement de technologies de pointe.

Préparation d’une attaque

Les cybercriminels disposent d’un impressionnant arsenal composé d’outils complexes pour s’introduire dans les réseaux informatiques des entreprises. La planification d’une attaque ciblée contre une entreprise peut prendre plusieurs mois. Ensuite, les individus malintentionnés utilisent toutes les technologies possibles, depuis l’ingénierie sociale jusqu’à l’utilisation de codes d’exploitation de vulnérabilités inconnues dans des applications.

Les attaquants étudient scrupuleusement le profil commercial de l’entreprise, les ressources publiques qui peuvent fournir la moindre information utile, les sites et les portails de la société, les profils des employés sur les réseaux sociaux, les annonces et les bilans de diverses présentations, les salons, etc. Les criminels peuvent étudier l’infrastructure réseau de la société, les ressources réseau et les nœuds de communication pour mettre au point leur stratégie d’infiltration et de vol des données.

Lors des préparatifs de l’attaque, les individus malintentionnés peuvent créer de faux sites Internet malveillants, copies parfaites des sites des clients ou des partenaires de la société attaquées et enregistrées sous des noms de domaines similaires. Ces sites seront utilisés plus tard pour tromper et infecter les victimes.

Méthodes d’intrusion

Une des méthodes privilégiées des individus malintentionnés en 2013 pour introduire les programmes malveillants dans les réseaux des entreprises aura été l’envoi aux employés de ces entreprises de messages électroniques contenant des pièces jointes malveillantes. Dans la majorité des cas, ces messages contiennent un document dans un format auquel les employés sont habitués : Word, Excel ou PDF. Quand le fichier en pièce jointe est ouvert, un code d’exploitation exploite une vulnérabilité dans l’application, ce qui entraîne l’infection par le programme malveillant.

Maillon faible

Souvent, les destinataires des messages malveillants sont des employés qui, de par leurs fonctions, communiquent avec des destinataires qui se trouvent au sein de la structure de l’entreprise. Dans la majorité des cas, le message malveillant est envoyé aux employés du service des relations publiques.

Le service de recrutement des cadres reçoit également de nombreux messages depuis l’extérieur. L’individu malintentionné peut se faire passer pour un candidat potentiel à un poste vacant, entamer une correspondance et envoyer un fichier PDF infecté contenant son C.V. Un message de ce genre sera plus que probablement ouvert par l’employé des Ressources humaines et si son ordinateur présente une vulnérabilité, il sera infecté.

Quant aux services financiers, les cybercriminels peuvent leur envoyer des messages malveillants au nom du fisc sous les prétextes les plus divers. Les services juridiques peuvent recevoir des messages malveillants prétendument envoyés par des organes judiciaires, des huissiers ou autres institutions de l’Etat.

Ingénierie sociale

Le contenu d’un message intéresse en général le destinataire car ce contenu est en rapport soit avec ses activités, soit avec le secteur d’activité de l’entreprise. Ainsi, dans le cadre d’une attaque ciblée menée contre des sociétés privées qui développent des jeux vidéo, le groupe de pirates Winnti a envoyé des messages évoquant une offre de coopération :

 

Et le logiciel espion Miniduke se propageait dans un message évoquant les projets de politique étrangère ukrainienne, notamment au niveau des relations de l’Ukraine avec l’OTAN :

 

Vulnérabilités et codes d’exploitation

Les cybercriminels utilisent activement les codes d’exploitation de vulnérabilités connues dans les applications.

Ainsi, la célèbre campagne Red October reposait sur au moins trois codes d’exploitation différents pour des vulnérabilités connues depuis longtemps dans Microsoft Office, à savoir CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) et CVE-2012-0158 (MS Word), tandis que le programme malveillant Nettraveler utilisait un code d’exploitation pour CVE-2013-2465, un vulnérabilité qui touchait les versions  5, 6 et 7 de Java et qui ne fut éliminée par Oracle qu’en juin 2013.

Mais les vulnérabilités les plus dangereuses sont celles dont l’éditeur ignore l’existence (vulnérabilités 0jour). Les cybercriminels recherchent avec beaucoup de zèle les failles encore inconnues dans les applications répandues et développent des codes d’exploitation. Si une application présente une telle vulnérabilité, il est fort probable qu’elle sera exploitée. Miniduke a utilisé une vulnérabilité (CVE-2013-0640) dans Adobe Reader versions 9, 10 et 11 qui étaient toujours inconnue de l’éditeur au moment de l’attaque.

Technologies

Les cybercriminels améliorent en permanence leur programme malveillant, adoptent des démarches inhabituelles et trouvent des solutions originales pour voler les informations qui les intéressent.

Une fois infiltré dans le système, Red October fonctionnait comme une plateforme modulaire à plusieurs fonctions et, en fonction des objectifs poursuivis, il ajoutait au système infecté différents modules capables de réaliser des actions déterminées : collecte initiale d’informations sur l’ordinateur infecté et l’infrastructure réseau, vol des mots de passe de différents services, enregistrement des frappes au clavier, auto-propagation, transfert des informations volées, etc.

Il convient également d’indiquer que les cybercriminels ne pouvaient pas ignorer le développement des technologies mobiles et la propagation des appareils nomades dans les milieux professionnels. Le smartphone ou la tablette moderne n’a rien à envier au poste de travail traditionnel et ces appareils emmagasinent une multitude de données, ce qui en fait une cible pour les individus malintentionnés. Les auteurs de Red October avaient mis au point des modules dédiés qui identifiaient les smartphones tournant sous Apple iOS, Windows Mobile ainsi que les téléphones Nokia connectés aux postes de travail infectés, copiaient les données qu’ils contenaient et envoyaient celles-ci au serveur de commande.

Les auteurs de Kimsuky avaient introduit dans le programme malveillant un module chargé de l’administration à distance des systèmes infectés. Ils sont partis pour ce faire de l’outil d’administration à distance légitime TeamViewer dont ils ont légèrement modifié le code. Ensuite, quelques opérateurs se sont connectés manuellement aux ordinateurs infectés afin de récolter et de copier les informations intéressantes.

Le groupe de pirates Winnti a dérobé des certificats numériques dans les réseaux informatiques d’éditeurs de jeux en ligne et il les a utilisés afin de signer son propre pilote malveillant pour infecter d’autres sociétés. Un certificat numérique de la société KOG de Corée du Sud avait également été volé. La société a révoqué ce certificat après que nous l’avions prévenue.

Certificat révoqué :

 

En outre, un des modules du cheval de Troie 64 bits était une porte dérobée parfaitement opérationnelle. Il s’agit du premier cas que nous rencontrons de l’utilisation de programmes malveillants 64 bits dotés d’une signature numérique authentique d’une société légitime.

Le logiciel espion Miniduke utilisait Twitter pour obtenir les informations relatives aux serveurs d’administration. Grâce à des comptes spécialement créés à cet effet, les opérateurs de Miniduke publiaient des tweets au format défini et contenant l’adresse chiffrée du serveur d’administration.

 

Le cheval de Troie lisait Twitter depuis l’ordinateur infecté et se connectait au système d’administration.

Données volées?

Les individus malintentionnés volent les données les plus diverses. Il peut s’agir des derniers développements technologiques d’une société ou les dernières trouvailles d’un centre d’études scientifiques, les codes source de logiciels, des documents financiers et juridiques, les données personnelles des employés et des clients ainsi que toute autre information constituant un secret professionnel.  Bien souvent, ces informations sont stockées en clair sur les réseaux des entreprises sous la forme de documents électroniques, de tâches techniques, de rapports, de plans, de présentations, d’illustrations, etc.

Comme nous l’avons déjà dit, les cybercriminels utilisent les techniques les plus diverses pour récolter les données. Certains programmes malveillants récoltent pratiquement tous les types de documents électroniques. Ainsi, Red October s’intéressait aux documents dans les formats txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, etc. qu’il envoyait aux serveurs de commande.

Une autre technique, que nous avons identifiée dans Kimsuky et Icefog, consiste à réaliser une analyse manuelle des données conservées sur le réseau de l’entreprise (à l’aide d’outils d’accès à distance intégrés au programme malveillant) avant de copier uniquement les documents qui présentent un intérêt pour les individus malintentionnés. Dans ce cas, les individus malintentionnés étudient toutes les particularités de la société attaquées et connaissent exactement les formats de données utilisés et le type d’informations enregistrées. Ainsi, dans le cas de Kimsuky et Icefog, le vol a porté sur des documents très spécifiques aux victimes au format hwp, très répandu en Corée du Sud.

Nouvelle tendance ; les cybermercenaires

L’étude des dernières attaques ciblées nous a permis de mettre en évidence l’émergence d’une tendance parmi les cybercriminels : la naissance d’une nouvelle catégorie d’intervenants que nous avons baptisés les "cybermercenaires". Il s’agit de groupes de pirates très bien préparés qui peuvent être recrutés par des gouvernements ou des entreprises privées pour organiser et mener des attaques ciblées complexes et efficaces contre des sociétés privées dans le but de voler des informations, de détruire des données ou des infrastructures.

Les cybermercenaires reçoivent un contrat qui reprend les objectifs et les caractéristiques de la mission, puis ils préparent minutieusement l’attaque avant de l’exécuter.  Alors que par le passé, les attaques ciblées se traduisaient par le vol massif des données les plus diverses, les cybermercenaires tentent d’atteindre des documents précis ou les contacts de personnes qui pourraient détenir les informations recherchées.

En 2013, nous avons étudié l’activité du groupe de cybermercenaires IceFog à l’origine des attaques ciblées du même nom. Au cours de notre enquête, nous avons pu mettre la main sur le journal d’activité des opérateurs d’Icefog qui détaillait toutes les actions des attaquants. Ces informations indiquaient clairement que les individus malintentionnés savaient exactement dans quel dossier il fallait chercher les informations qui les intéressaient.

Conséquences des fuites

L’année 2013 aura été marquée par des divulgations retentissantes sur des attaques menées par des logiciels espion, liés directement ou non aux activités de certains Etats.  Ces divulgations pourraient entraîner une perte de confiance envers les services et les entreprises internationaux ou donner naissance à l’idée de la création de services similaires internationaux privés, mais  dans les les limites de chaque Etat. Cela pourrait entraîner la fin de la mondialisation d’Internet et l’augmentation de la demande pour des services et des produits informatiques locaux. Il existe déjà dans de nombreux pays des versions locales de services internationaux comme les moteurs de recherche ou des services de messagerie nationaux, des clients de messagerie propre à certains pays, voire des réseaux sociaux locaux.

La hausse du nombre de logiciels et de services est garantie par des éditeurs nationaux. En général, ces sociétés sont de taille plus modeste et ne disposent pas des mêmes budget que les grands éditeurs multinationaux. Par conséquent, la qualité de ces logiciels n’est pas contrôlée avec la même rigueur. Sur la base de notre expérience dans l’étude des cyberattaques, plus l’éditeur d’un logiciel est inexpérimenté et modeste, plus le risque de retrouver des vulnérabilité dans le code de son application est élevé. Cela simplifie considérablement la tâche des cybercriminels qui organisent des attaques ciblées.

De plus, une fois qu’ils auront obtenu l’avantage dans le domaine du contrôle des informations et du matériel, les gouvernements pourraient obliger les sociétés locales à utiliser les logiciels ou les services Internet nationaux, ce qui pourrait avoir des conséquences négatives pour les entreprises.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *