Infos

Citadel s’attaque au secteur pétrochimique

Des éléments criminels font de plus en plus souvent leur apparition dans les cyberattaques contre des secteurs clés de l’économie. L’exemple le plus récent de cette tendance est le Trojan bancaire Citadel dont une nouvelle version a été utilisée récemment par des individus malintentionnés dans le cadre d’attaques contre des sociétés pétrochimiques du Moyen-Orient.

D’après les experts de Trusteer (qui fait désormais partie d’IBM), ces menaces persistantes avancées (APT) ont été observées au cours des deux derniers mois ; les chercheurs de la société ont découvert des versions remaniées de Citadel dans les réseaux des entreprises attaquées. Le programme malveillant, qui a changé d’orientation, surveillait des URL totalement différentes, par exemple les accès à la messagerie d’entreprise, enregistrait les données saisies et les envoyait à son centre de commande. Ces informations volées permettaient aux attaquants d’accéder à la boîte aux lettres d’un employé de la société ou d’un sous-traitant. Autrement dit, ils pouvaient lire son courrier, envoyer des messages en son nom et diffuser des messages de phishing afin de s’enfoncer plus encore dans le réseau de la victime.

Dana Tamir, responsable du développement des produits IBM de sécurité d’entreprise a signalé que parmi les victimes des individus malintentionnés, on retrouve un des plus grands distributeurs de dérivés du pétrole au Moyen Orient ainsi qu’un fournisseur régional de matière première pour les sociétés pétrochimiques. Elle n’a toutefois fourni aucune information sur l’ampleur de l’attaque, ni sur ses résultats.

Les attaques ciblées contre des secteurs économiques clés ne sont pas nouvelles. Les secteurs énergétiques, chimiques et militaires sont de plus en plus souvent exposés à ce genre d’attaque. Dans la majorité des cas, les pirates utilisent des codes d’exploitation de diffusion massive et non pas des codes d’exploitation de type 0jour. D’après Dana Tamir, l’utilisation de programmes malveillants financiers est une nouvelle tendance qui se développe ; les auteurs des attaques ciblées sont attirés principalement par la grande diffusion de ces outils prêts à l’emploi. D’après les estimations d’IBM, un ordinateur sur 500 serait actuellement infecté par un programme malveillant que la société classe dans la catégorie APT.š

Dana Tamir explique que "cette tendance a été observée pour la première fois il y a quelques années, dans le cadre d’attaques uniques. Ces incidents n’étaient pas réguliers, mais nous avions malgré tout décelé une tendance qui avait le potentiel de se développer. Ces derniers temps, cette tendance s’est considérablement accélérée."

Pour rappel, la semaine dernière le service en ligne Salesforce.com a publié un avertissement sur d’éventuelles attaques de Dyre ou Dyreza.š Récemment, ce Trojan bancaire a élargi son cercle de cibles et a commencé à viser les comptes des utilisateurs de Salesforce. Ces nouvelles attaques constituent une réelle menace pour la structure d’entreprise car l’application SaaS de Salesforce contient des informations financières importantes qui ont de la valeur pour la concurrence et pour le marché noir.

La transformation d’un programme malveillant de type bancaire en APT n’est pas compliquée. Les programmes malveillants financiers peuvent se connecter à un centre de commande, bon nombre d’entre eux sont associés à des enregistreurs de frappes et possèdent d’autres fonctions pour le vol d’informations. La variante de Citadel découverte par Trusteer était dotée d’un module capable de voler les données saisies dans un formulaire en ligne avant leur chiffrement à l’aide du protocole SSL. Les Trojans bancaires utilisent également des injections Web capables d’ajouter du contenu HTML à des pages : fausses notifications ou demandes de saisie des informations d’authentification.

"Au début, les programmes malveillants financiers réalisaient des attaques du type "homme dans le navigateur". Ils possédaient un enregistreur de frappes et quelques autres fonctions de bases. Mais au fil des ans, ils se sont améliorés. Ces Trojans sont habiles et peuvent déjouer les outils de détection. Leur deuxième avantage est leur large diffusion. Ils sont diffusés de manière agressive via des bannières malveillantes, des messages de phishing, des téléchargement drive-by et d’autres méthodes de diffusion rapide sur un maximum d’ordinateurs. Nous les avons rencontré dans presque toutes les organisations" explique Dana Tamir.

"Ces Trojans sont en fait des outils très complexes. pour transformer un Trojan bancaire en outil pour une APT, il suffit de lui indiquer une nouvelle cible, c’est-à-dire actualiser le fichier de configuration. Il se mettra alors en quête de nouvelles proies." ajoute la responsable de Trusteer.

Security Intelligence

Citadel s’attaque au secteur pétrochimique

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception