Evolution des menaces informatiques au 1er trimestre 2017

Contenu

Aperçu

Attaques ciblées et campagnes de malwares

De nouveaux effaceurs de disques entrent en scène

La majorité des campagnes d’attaques ciblées vise à voler des données sensibles. Mais il y a parfois des exceptions. Il peut arriver que les attaquants cherchent à supprimer des données au lieu d’obtenir des informations confidentielles ou bien ils poursuivent les deux objectifs. Nous avons observé plusieurs attaques d’effaceurs de disque au cours de ces dernières années. Il s’agit notamment de Shamoon (connu également sous le nom de « Disttrack ») qui aurait été impliqué dans la suppression de données sur plus de 30 000 ordinateurs chez Saudi Aramco en 2012 et Dark Seoul, utilisé dans l’attaque contre Sony Pictures en 2013.

Evolution des menaces informatiques au 1er trimestre 2017

Shamoon a refait surface en novembre 2016 en ciblant des organisations actives dans différents secteurs d’activités critiques de l’économie d’Arabie saoudite. A ce jour, nous avons observé trois vagues d’attaques du malware Shamoon 2.0 aux dates suivantes : le 17 novembre 2016, le 29 novembre 2016 et le 23 janvier 2017.

Alors que ces attaques ont de nombreux points en commun avec celles de la vague antérieure, elles introduisent également de nouveaux outils et techniques. Tout d’abord, les attaquants obtiennent les informations d’authentification de l’administrateur du réseau ciblé. Ils construisent ensuite un effaceur de disque personnalisé (Shamoon 2.0) qui se déplace latéralement dans l’organisation. Enfin, cet effaceur de disque s’active à une date prédéfinie et rend les ordinateurs infectés inutilisables. La dernière étape de l’attaque est complètement automatisée et ne requiert aucune communication avec le centre de commande de l’attaquant.

Shamoon 2.0 intègre également un composant ransomware. Cette fonction n’a pas encore été utilisée dans la nature et il est dès lors impossible de dire si les auteurs d’une attaque seraient prêts à utiliser cette partie de la plateforme pour gagner de l’argent ou pour défendre des idées.

Dans le cadre de notre enquête sur les attaques Shamoon, nous avons découvert un nouvel effaceur de disque dur. Ce malware, que nous avons baptisé StoneDrill, semble viser lui aussi des organisations en Arabie saoudite. Son style évoque celui de Shamoon, mais il possède des fonctions complémentaires qui lui permettent d’échapper à la détection. Une des victimes de StoneDrill, identifiée via Kaspersky Security Network (KSN), se trouve en Europe (et œuvre dans le secteur pétro-chimique), ce qui suggère que les attaquants étendent leurs opérations d’effacement de disque dur au-delà du Moyen-Orient.

Evolution des menaces informatiques au 1er trimestre 2017

La principale différence entre ces deux malwares se situe au niveau du processus d’effacement des données. Shamoon utilise un pilote de disque afin de pouvoir accéder directement au disque tandis que StoneDrill injecte l’effaceur de disque directement dans le navigateur préféré de la victime.

StoneDrill affiche également des similitudes avec un groupe APT connu sous le nom de NewsBeef (ou ‘Charming Kitten’), baptisé de la sorte en raison de l’exploitation de Browser Exploitation Framework (BEeF). Parmi ces points communs, citons des signatures WinMain et OS familières, des commandes de mise à jour et des noms de serveur C2. On ne peut dire si le même groupe se trouve derrière Shamoon et StoneDrill ou s’il s’agit de deux groupes différents alignés au niveau des intérêts et des régions ciblées. Cette dernière option nous semble plus probable.

Evolution des menaces informatiques au 1er trimestre 2017

En plus du module d’effacement de disque, StoneDrill possède également une backdoor qui a été exploitée dans le cadre d’opérations d’espionnage menées contre différentes cibles.

Le rapport complet sur Shamoon 2.0 et StoneDrill est disponible ici. En vous abonnant à nos rapports de renseignements sur les campagnes APT, vous bénéficiez de l’accès à nos enquêtes et à nos découvertes en temps réel, y compris aux données techniques globales.

EyePyramid

Comme nous l’avons déjà vu, les attaques ciblées ne doivent pas forcément être à la pointe du progrès pour être efficaces. L’arrestation, en janvier 2016, de deux individus par la police italienne a mis en lumière une série de cyberattaques menées contre des hommes politiques connus, des banquiers, des francs-maçons et des membres des forces de l’ordre.

EyePyramid, le malware utilisé dans le cadre de ces attaques, était rudimentaire, mais il a malgré tout permis aux attaquants d’accéder aux ressources des victimes sur les ordinateurs infectés. L’enquête avait identifié 100 victimes actives sur le serveur utilisé pour héberger le malware, mais certains signes indiquaient que les attaquants avaient ciblé près de 1 600 victimes au cours des dernières années. Parmi les victimes, situées en Italie principalement, il y avait des cabinets d’avocats, des cabinets de conseillers, des universités et des cardinaux du Vatican.

Evolution des menaces informatiques au 1er trimestre 2017

Sur le plan des techniques de propagation employées, le rapport de la police italienne n’offrait pas beaucoup de détails, si ce n’est une mention du recours au harponnage. Il citait malgré tout un certain nombre de serveurs de commandes et d’adresses email utilisés par les attaquants pour extraire les données volées. Sur la base de ces informations, nous avons créé une règle YARA qui repose sur les adresses email personnalisées, les serveurs de commande et les licences de la bibliothèque de messagerie personnalisée utilisée par les attaquants ainsi que sur les adresses IP particulières utilisées dans le cadre de l’attaque. Nous l’avons ensuite exécutée dans nos systèmes afin de voir s’il y avait une correspondance avec des échantillons connus. Notre règle YARA initiale mit en évidence deux échantillons qui nous ont permis de créer une règle YARA plus précise. Grâce à celle-ci, nous avons identifié 42 échantillons supplémentaires dans notre collection. Une recherche plus poussée a permis d’obtenir plus de détails sur EyePyramid. Les attaques exploitaient l’ingénierie sociale pour amener les victimes à ouvrir et à exécuter les fichiers infectés joints aux messages de harponnage. Les pièces jointes étaient des archives ZIP et 7ZIP qui contenaient le malware. Les attaquants utilisaient plusieurs espaces pour tenter de masquer l’extension du fichier, signe du faible niveau de sophistication de ces attaques.

Sur la base des horodatages de compilation des échantillons, qui semblent légitimes, la compilation de la majorité des échantillons utilisés dans ces attaques remontait à 2014-2015.

Evolution des menaces informatiques au 1er trimestre 2017

Il est évident que les cybercriminels peuvent réussir leurs opérations même si le malware utilisé est rudimentaire ou facile à détecter. La sécurité des opérations médiocres qui caractérise ces campagnes (par exemple, utiliser des adresses IP associées à leur propre entreprise ou parler des victimes dans des conversations téléphoniques ou via WhatsApp) confirme l’amateurisme de ces attaquants. Ceci étant dit, ils ont pu agir malgré tout pendant de nombreuses années et voler des giga-octets de données chez leurs victimes.

Le report complet consacré à EyePyramid est disponible ici.

Rompre le maillon le plus faible dans la chaîne la plus solide

Vers le milieu de l’année 2016, 100 militaires israéliens ont été ciblés par un auteur de menaces rusé. Cette attaque avait compromis les appareils de ces personnes et envoyé des données vers le serveur de commande des attaquants.

Le C4I et l’Unité de sécurité de l’information de l’Armée de défense d’Israël, en coopération avec des chercheurs de Kaspersky Lab, ont établi la liste des victimes : il s’agissaient de membres des forces armées israéliennes en poste aux alentours de la bande de Gaza.

Cette campagne, qui n’en est qu’à ses débuts d’après les experts, vise les appareils Android. Une fois que l’appareil est compromis, un processus de collecte sophistiquée de renseignements est lancé. Celui-ci repose sur les capacités audio et vidéo du téléphone, les SMS et les services de géolocalisation.

Le déroulement d attaques en lui-même est très rudimentaire et repose largement sur des techniques d’ingénierie sociale. Les attaquants poussent leurs victimes à installer un malware tout en essayant en permanence d’obtenir des informations confidentielles via les réseaux sociaux : le groupe semble être particulièrement actif sur Facebook Messenger. La majorité des avatars utilisés par les attaquants (participants virtuels à la phase d’ingénierie sociale de l’attaque) tente d’attirer les victimes en exploitant des thèmes sexuels : par exemple, ils demandent à la victime d’envoyer des photos explicites et en échange, ils envoient de fausses photos d’adolescentes. Les avatars prétendent vivre dans différents pays tels que le Canada, l’Allemagne, la Suisse, etc.

La victime est ensuite amenée à télécharger une app depuis une URL malveillante. Cet app récolte des données sur le téléphone de la victime, dont des informations générales (opérateur du réseau, position GPS, IMEI, etc.), les contacts, l’historique Internet, les SMS, les photos. L’app est également en mesure de réaliser des enregistrements vidéo et audio.

Evolution des menaces informatiques au 1er trimestre 2017

L’Armée de défense d’Israël, qui a dirigé les recherches avec les experts de Kaspersky Lab, estime qu’il s’agit de la première étape d’une campagne plus vaste qui vise à déterminer la répartition des troupes au sol et à obtenir des informations sur les tactiques et le matériel employés par l’Armée de défense d’Israël, sans oublier l’obtention de renseignement en temps réel.

Le rapport détaillé consacré à cette campagne est disponible ici.

Evaporation dans la mémoire

Quand ils réagissent à un incident, les experts en sécurité de l’information recherchent le moindre élément que les attaquants pourraient avoir laissé dans le réseau de la victime. Ils passent en revue les fichiers journaux, recherchent des fichiers sur le disque dur, examinent la base de registres et vérifient la mémoire.

Toutefois, les données dans chacun de ces éléments se caractérisent par une durée de vie différente : en d’autres termes, les experts disposent de plus ou moins de temps pour trouver ces indices en fonction de leur emplacement. Ainsi, il est probable que les données stockées sur un disque dur seront plus longtemps accessibles à un expert en criminalistique informatique : ceci étant dit, comme nous l’avons vu avec Duqu 2.0, un malware sophistiqué peut très bien nettoyer toutes ses traces sur le disque dur après l’installation et n’exister que dans la mémoire. Pour cette raison, la partie de la criminalistique informatique qui se concentre sur la mémoire est essentielle à l’analyse d’un malware et de ses fonctions.

Les tunnels installés dans le réseau par les attaquants constituent un autre aspect important d’une attaque. Les cybercriminels (comme Carbanak et GCMAN) peuvent utiliser PLINK à cette fin ; Duqu 2.0 utilisait quant à lui un pilote spécial.

Dans le cadre de nos prévisions pour 2017, nous avions évoqué l’augmentation des infections éphémères, à savoir les infections impliquant des malwares qui résident dans la mémoire dans un but de reconnaissance général et sans aucun intérêt pour la persistance. Quand l’environnement est très sensible et que la furtivité est un élément essentiel, les attaquants peuvent très bien se satisfaire d’une opération menée jusqu’au moment où le malware est supprimé de la mémoire après un redémarrage car cela réduit la probabilité de détection du malware et de l’opération.

Lors d’une intervention récente suite à un incident, nos experts ont découvert que les auteurs d’une attaque contre une banque avaient exploité un malware en mémoire et la tunnelisation à l’aide d’utilitaires Windows standard comme SC et NETSH. C’est l’équipe de sécurité de la banque qui avait repéré la menace après avoir détecté la présence du code de Meterpreter dans la mémoire physique d’un contrôleur de domaine. Nous avons participé aux analyses de criminalistique informatique réalisées après cette détection et nous avons identifié l’utilisation de scripts PowerShell au sein de la base de registre Windows. Nous avons également pu constater que l’utilitaire NETSH intervenait dans la tunnelisation du trafic entre l’hôte de la victime et le serveur de commande de l’attaquant.

Evolution des menaces informatiques au 1er trimestre 2017

Les détails de cette enquête sont accessibles ici.

Les données du Kaspersky Security Network nous ont permis d’identifier plus de 100 réseaux d’entreprise infectés par des scripts PowerShell dans la base de registre.

Evolution des menaces informatiques au 1er trimestre 2017

Nous n’avons pas été en mesure de confirmer s’ils avaient tous été infectés par le même attaquant. Dans le cadre de l’analyse du réseau infecté de la banque, nous avons découvert que les attaquants avaient utilisé plusieurs domaines de troisième niveau ainsi que des domaines de premier niveau national .GA, .ML et .CF. L’avantage de l’utilisation de tels domaines pour les attaquants est qu’ils ne coûtent rien et ne reprennent pas les informations WHOIS après l’expiration du domaine. Dans la mesure où les attaquants ont utilisé le cadre Metasploit, des utilitaires Windows standard et des domaines inconnus sans informations WHOIS, il est impossible d’attribuer l’origine de l’attaque. Les groupes qui utilisent l’ensemble d’outils, de techniques et de procédures le plus proche sont Carbanak et GCMAN.

Ces techniques sont de plus en plus fréquentes, surtout dans le cadre d’attaques contre des institutions financières. Les données peuvent être extraites à l’aide d’utilitaires standard et de certaines astuces, sans recourir au malware. Ces attaques éphémères soulignent la nécessité d’intégrer des technologies sophistiquées et proactives dans les solutions de lutte contre les malwares. C’est le cas de System Watcher de Kaspersky Lab.

KopiLuwak : une nouvelle charge utile JavaScript de Turla

Le groupe APT russophone Turla (connu également sous le nom de ‘Snake’, ‘Uroburos’, ‘Venomous Bear’ et ‘KRYPTON’) est actif depuis au moins 2007 (et peut-être même depuis plus longtemps). Ses activités ont été associées à de nombreux incidents qui ont défrayé la chronique dont l’attaque lancée en 2008 contre le US Central Command (incident Buckshot Yankee) et plus récemment, l’attaque menée contre l’entrepreneur militaire suisse RUAG. Nous avons évoqué les activités de ce groupe à maintes reprises (ici, ici, ici et ici). Le groupe a intensifié ses activités en 2014 et a ciblé l’Ukraine, des institutions de l’Union européenne, des gouvernements de l’Union européenne, des ministères des Affaires étrangères, des médias et peut-être également des points d’intérêt liés à la corruption en Russie. En 2015 et 2016, le groupe a diversifié ses activités et a abandonné le cadre du point d’eau Epic Turla au profit du cadre Gloog Turla qui est toujours actif. Le groupe a également étendu ses campagnes de harponnage avec les attaques Skipper/WhiteAtlas qui reposaient sur un nouveau malware. Récemment, il a multiplié ses enregistrements de centre de commande par satellite par dix par rapport à la moyenne de 2015.

Au mois de janvier, John Lambert de chez Microsoft (@JohnLaTwC) diffusait un tweet à propos d’un document malveillant qui introduisait « une backdoor .JS très intéressante« . Depuis la fin du mois de novembre 2016, Kaspersky Lab a remarqué que Turla utilise cette nouvelle charge utile JavaScript et la variante macro spécifique. Nous avions déjà pu observer cette technique avec les charges utiles « ICEDCOFFEE » de Turla (présentée en détails dans un rapport publié en juin 2016 et réservé aux clients de Kaspersky APT Intelligence Services). Alors que la méthode de livraison évoque quelque peu celle de ICEDCOFFEE, les différences au niveau du JavaScript sont immenses et il semble avoir été créé principalement pour éviter la détection.

Les cibles de ce nouveau malware sont cohérentes avec celles des campagnes antérieures menées par Turla : il s’agit principalement de ministères étrangers et autres organisations gouvernementales en Europe. Toutefois, la fréquence est bien inférieure à celle de ICEDCOFFEE dans la mesure où à compter de janvier 2017, moins de dix victimes avaient été recensées. Nous sommes convaincus que ce nouveau JavaScript va être utilisé davantage à l’avenir en tant que mécanisme de livraison de première étape et qu’outil de profilage des victimes.

Le malware est assez rudimentaire mais il offre une certaine flexibilité au niveau des fonctions. Il est capable d’exécuter une série de commandes pour déterminer le profil de la victime et permet également aux attaquants d’exécuter des commandes arbitraires via Wscript.

Tous les détails relatifs à KopiLuwak sont présentés ici.

Le document contient une macro malveillante qui ressemble beaucoup aux macros utilisées antérieurement par Turla pour diffuser Wipbot, Skipper et ICEDCOFFEE. Le groupe Turla continue d’utiliser abondamment les macros intégrées à des documents Office. Cette tactique semble être très rudimentaire pour un attaquant aussi sophistiqué, mais elle lui a permis de compromettre des cibles de haut vol. Nous conseillons aux organisations de désactiver les macros et d’interdire l’activation de tel contenu par les employés, sauf en cas de nécessité absolue.

Evolution des menaces informatiques au 1er trimestre 2017

Le document piégé ci-dessus est une lettre officielle de l’ambassade du Qatar à Chypre envoyée au ministère des Affaires étrangères chypriote. Sur la base du nom du document (« National Day Reception (Dina Mersine Bosio Ambassador’s Secretary).doc ») nous avons supposé qu’il avait été envoyé par le secrétaire de l’ambassadeur au ministère des Affaires étrangères, ce qui laisserait penser que le groupe Turla avait déjà mis la main sur au moins un système au sein du réseau diplomatique du Qatar.

La meilleure manière de se protéger contre les attaques ciblées consiste à adopter une démarche à plusieurs niveaux qui réunit les technologies traditionnelles de lutte contre les virus et la gestion des correctifs, la détection des intrusions sur l’hôte et une stratégie de liste blanche basée sur le refus par défaut. D’après une étude organisée par l’Australian Signals Directorate, 85 pour cent des attaques ciblées auraient pu être déjouées en suivant quatre stratégies élémentaires d’atténuation des risques : création d’une liste blanche d’applications, mise à jour des applications, mise à jour des systèmes d’exploitation et restriction des privilèges d’administrateur.

Histoires de malware

La bourse ou vos fichiers ?

Sur les chemins de l’Angleterre du XVIIIe siècle (et ailleurs), il arrivait que les voyageurs soient interceptés par un bandit de grand chemin, un brigand qui arrêtait les diligences et exigeait des passagers qu’ils donnent leur argent ou autres biens de valeur. Souvent, le brigand adressait les mots suivants à ses victimes : la bourse ou la vie ? Le ransomware est la version numérique de ce vol. La seule différence étant que ce sont vos données qui sont prises en otage et la demande de rançon du brigand est affichée à l’écran.

Ce sont plus de 1 445 000 attaques de ransomwares contre des entreprises et des individus qui ont été enregistrées en 2016. La croissance sensible enregistrée au cours de ces dernières années est alimentée par les succès que les cybercriminels ont remporté grâce à ce type de malware : le ransomware permet d’obtenir de l’argent facilement et l’investissement par victime est minime.

Sur les 62 nouvelles familles de ransomware avec chiffrement que nous avons découvertes l’année dernière, au moins 47 d’entre elles ont été développées par des cybercriminels russes. Nous avons publié en février un rapport sur l’économie du ransomware en Russie. Il est évident que le développement du ransomware repose sur l’existence d’un éco-système clandestin, flexible et convivial, qui permet aux criminels d’organiser des campagnes avec presque n’importe quel niveau de connaissances techniques et de moyens financiers. Nos chercheurs ont identifié trois niveaux de participation criminelle dans le milieu du ransomware.

Il y a tout d’abord la création et la mise à jour des familles de ransomwares. Ce niveau requiert des aptitudes poussées en matière de codage ; les individus impliqués à ce niveau sont les membres les plus privilégiés du monde clandestin des ransomwares car ils occupent une position clé dans l’éco-système. Le deuxième niveau est celui du développement de programmes d’affiliés pour la diffusion du ransomware et l’assistance fournie à ces programmes. Cette tâche est confiée à des communautés criminelles qui propagent les ransomwares à l’aide d’outils auxiliaires tels que les kits d’exploitation et le spam. Le troisième niveau est celui de la participation des partenaires au sein de ces programmes. Les individus impliqués à ce niveau occupent l’échelon le plus bas et leur rôle se limite à aider les propriétaires des programmes d’affiliés à diffuser le malware en échange d’une commission sur les revenus : les seules qualifications requises sont être prêt à réaliser des activités illégales et disposer de la somme nécessaire pour rejoindre le programme d’affiliés..

Nous avons réussi à identifier plusieurs groupes importants de criminels russophones spécialisés dans le développement et la diffusion de ransomware avec chiffrement. Ces groupes peuvent réunir des dizaines de partenaires différents, chacun avec son propre programme d’affiliés. La liste des cibles reprend non seulement des particuliers, mais également des P.M.E., voire des entreprises. Alors que ces groupes avaient commencé par cibler des organisations dans les frontières de la Fédération de Russie, il semblerait qu’ils portent désormais leur attention également sur des entreprises établies au-delà de ces frontières. Les revenus quotidiens d’un programme d’affiliés se chiffrent en dizaines, voire en centaines, de milliers de dollars : les criminels empochent net près de 60 % de cette somme.

Nous avons signalé au mois de mars une nouvelle famille de ransomwares utilisée dans le cadre d’attaques ciblant des organisations. Nous l’avons baptisée PetrWrap. Une fois introduits dans le réseau de l’entreprise ciblée, les attaquants exploitent l’outil PsExec pour installer le ransomware sur tous les ordinateurs. Ce qui est particulièrement intéressant au niveau de ce ransomware, c’est le fait que les attaquants utilisent le célèbre ransomware Petya pour chiffrer les données. Bien que Petya exploite le concept RaaS (ransomware en tant que service), les attaquants n’en ont pas profité. Ils ont préféré inclure un échantillon de Petya dans la section de données du malware et ils infectent les ordinateurs des victimes à l’aide de Petya. Une module spécial masque au vol le ransomware Petya original. Ceci permet aux attaquants de masquer l’utilisation de Petya.

Les attaques de ransomwares ciblées contre des organisations deviennent monnaie courante. Les groupes qui utilisent le ransomware dans ce genre d’attaque recherchent en général des serveurs vulnérables ou des serveurs offrant un accès RDP sans protection. Une fois dans le réseau de l’organisation, ils utilisent des cadres spéciaux comme Mimikatz afin d’obtenir les identifiants nécessaires en vue d’installer le ransomware sur l’ensemble du réseau. Pour ce protéger contre de telles attaques, les entreprises doivent absolument veiller à maintenir leurs logiciels serveur à jour, adopter des mots de passe robustes pour les systèmes d’accès à distance, installer des solutions de sécurité sur les serveurs et installer des solutions de sécurité dotées de modules de détection sur la base du comportement sur tous les points de terminaison.

L’Internet des objets cassés

Vous vous souvenez peut-être de cet incident dévoilé en octobre 2016 où des cybercriminels avaient exploité un réseau de zombies composés de périphériques domestiques connectés à Internet (caméras, enregistreurs numériques, caméras de vidéosurveillance et imprimantes connectés à Internet) pour lancer une attaque DDoS. Pour ce faire, les attaquants avaient infecté les périphériques vulnérables avec le malware Mirai. Cette opération avait fait parler d’elle non seulement parce qu’elle avait détourné des périphériques de l’Internet des objets, mais également parce que le volume du trafic DDoS généré de la sorte avait été supérieur à celui des volumes enregistrés antérieurement. Cette attaque DDoS mit hors service une partie d’Internet et les inconvénients provoqués ont justifié l’ouverture d’une enquête par le FBI et le DHS. A l’époque, l’implication d’un gouvernement n’était pas écartée étant donné la puissance globale des réseaux de zombies Mirai. Mais il s’est avéré qu’il n’était pas nécessaire de bénéficier de l’appui d’un gouvernement pour organiser une attaque d’une telle ampleur. L’avenir nous dira si les gouvernements décideront de fondre leurs activités destructrices dans l’Internet des objets. Il n’y a aucun doute que les capacités existent. Il se peut qu’un gouvernement soit tenté par l’idée de mettre hors service un gros secteur d’Internet à l’aide de cette boîte à outils juvénile.

Au mois de février, nous nous sommes intéressés à une série de rapports consacrés à un diffuseur Win32 multiplateforme pour Mirai et à un réseau de zombies dans la nature. Certains des débats sur le sujet laissaient croire qu’un tout nouveau réseau de zombies de l’Internet des objets se propageait aux périphériques Windows et au départ de ceux-ci. Mais ce n’est pas le cas : ce qui se passe, c’est qu’un réseau de zombies Windows déjà actif propage désormais une version du bot Mirai. Ce n’est qu’en janvier que nous avons vu cette version qui poussait des téléchargeurs de Mirai. Ce bot Windows en lui-même n’a rien de neuf. La méthode adoptée par ce bot Windows pour diffuser Mirai est également très limitée : il propose les bots Mirai uniquement à des hôtes Linux depuis un hôte Windows s’il parvient à établir une connexion telnet à distance par force brute.

Nous n’avons donc pas observé un bon incroyable depuis Mirai pour Linux vers Mirai pour Windows. Mais nous sommes confrontés à une nouvelle menace et au recours à Windows pour propager Mirai sur des ressources qui n’étaient pas disponibles auparavant. Des serveurs SQL vulnérables sous Windows peuvent constituer un problème car ils peuvent être connectés à Internet et avoir accès aux caméras, aux enregistreurs numériques, au logiciel du centre de divertissement et à d’autres périphériques internes connectés au réseau privé.

Il est malheureux de voir la moindre forme de migration de Mirai entre les plateformes Linux et Windows. A l’instar de la divulgation du code source du trojan bancaire Zeus qui avait engendré des années de difficultés pour la communauté en ligne, la divulgation du code source du bot Mirai de l’Internet des objets va provoquer des problèmes considérables au niveau de l’infrastructure Internet pour les années à venir. Ceci n’est que le début.

Dans le cadre d’une réaction à l’immense problème posé à l’infrastructure Internet, notre équipe et le CERT ont été impliqués ces derniers mois dans plusieurs opérations de neutralisation de centres de commandes qui avaient posé des problèmes aux partenaires qui se contentaient de fournir des notifications. Alors que certains chercheurs sont enclins à décrire de telles opérations comme une perte de temps, ces efforts ont permis d’interrompre les torrents de Gbits/s d’attaques DDoS contre de grands réseaux. Nous sommes ravis de coopérer avec davantage d’exploitants de réseaux et de faire intervenir nos connexions avec les CERT, les autorités judiciaires et policières et d’autres partenaires à travers le monde pour continuer à bâtir sur ces réussites.

Vous pouvez lire notre rapport ici.

Cette attaque, à l’instar d’autres incidents qui ont impliqué des périphériques compromis de l’Internet des objets, a joué sur fait que les utilisateurs modifient rarement les informations d’identification définies par défaut sur leur nouveau périphérique intelligent. Cela simplifie la tâche des attaquants : il leur suffit de trouver le mot de passe par défaut. De plus, bon nombre de périphériques n’ont pas de mise à jour du micrologiciel. Les périphériques de l’Internet des objets sont également intéressants pour les cybercriminels car ils demeurent connectés en permanence.

Aujourd’hui, les appareils intelligents sont partout. Il s’agit d’appareils de tous les jours comme des téléphones, des téléviseurs, des thermostats, des réfrigérateurs, des moniteurs de surveillance de bébés, des bracelets connectés, voire des jouets pour enfants. Mais il ne faut pas oublier non plus, les véhicules, les dispositifs médicaux, les caméras de vidéosurveillance et les parcmètres. Certaines maisons sont « intelligentes » de fond en comble. Un réseau Wi-Fi généralisé connecte l’ensemble de ces périphériques à Internet, dans le cadre de l’Internet des objets. Ces objets ont été conçus pour nous faciliter la vie. Dans la mesure où ces objets de tous les jours sont capables de récolter et de transférer des données automatiquement sans interaction avec un être humain, ils sont plus efficaces. Toutefois, cette réalité des objets de tous les jours connectés représente de nouvelles opportunités d’attaques pour les cybercriminels. Si les appareils de l’IdO ne sont pas sécurisés, les données personnelles qu’ils échangent peuvent être compromises. Ils peuvent être victimes d’attaques, mais ils peuvent également devenir complices, à leur insu.

Un des problèmes lié aux périphériques de l’Internet des objets provient du fait qu’il s’agit souvent d’objets de tous les jours qui ont rempli des fonctions utiles depuis bien avant l’invention d’Internet. Pour cette raison, nous ignorons l’ordinateur qu’ils renferment. Cela se confirme tout particulièrement dans le cas des jouets pour enfants. Au cours de ces deux dernières années, des préoccupations au niveau de la sécurité et de la confidentialité des jouets pour enfants ont été avancées en différentes occasions (vous trouverez de plus amples informations ici, ici et ici).

Au mois de février, c’est la poupée My Friend Cayla qui se retrouvait au centre de préoccupations similaires. L’Agence fédérale des réseaux, l’organisme allemand qui veille sur la sécurité des télécommunications, a recommandé aux parents qui avaient acheter ce joue de le détruire en raison de ces questions de sécurité.

Le meilleur conseil que l’on peut offrir aux utilisateurs de périphériques de l’Internet des objets à domicile est de veiller à modifier les mots de passe par défaut sur tous les périphériques (privilégier des mots de passe uniques et complexes) pour éviter tout accès à distance. Cela vaut aussi pour les routeurs domestiques qui constituent la passerelle d’accès à votre réseau domestique. A la lumière de ces informations, certains utilisateurs pourraient être tentés de déconnecter tous les périphériques, mais dans le monde d’aujourd’hui qui est de plus en plus connecté, cette solution n’est pas réaliste. Ceci étant dit, il est toujours prudent de passer en revue les fonctions d’un périphérique intelligent et de désactiver celles que vous n’utilisez pas. En général, une bonne politique de gestion des mots de passe peut être très efficace pour maintenir les cybercriminels à l’écart de vos périphériques. Ce genre d’attaque à grande échelle rappelle également aux fabricants qu’ils doivent considérer la sécurité comme une partie intégrante de la conception et non pas comme un ajout ultérieur.

Vol et divulgation de données

Nous avons pris l’habitude de découvrir mois après mois de nouvelles violations de la sécurité. Ce trimestre n’aura pas fait exception à la règle avec les attaques menées contre Barts Health Trust, Sports Direct, Intercontinental Hotels Group et ABTA.

Certaines de ces attaques ont débouché sur le vol de données sensibles, ce qui a souligné les lacunes de nombreuses entreprises en matière de protection. Toute organisation qui détient des données personnelles se doit d’adopter des mesures de protection efficace. Celles-ci doivent prévoir notamment le hachage et le salage des mots de passe des clients et le chiffrement d’autres données sensibles.

Les consommateurs peuvent limiter les dégâts en cas d’attaque contre un de leurs fournisseurs de service en ligne en choisissant toujours des mots de passe uniques et complexes : le mot de passe idéal compte au moins 15 caractères, dont des lettres, des chiffres et des symboles de l’ensemble du clavier. Vous pouvez également opter pour une application de gestion des mots de passe qui s’occupera automatiquement de l’ensemble de ces détails. Pensez également à privilégier l’identification à deux facteurs, si le prestataire offre cette option. Dans le cadre de ce système, les clients doivent saisir un code généré par un token ou envoyé à un appareil mobile pour pouvoir accéder au site, ou du moins pour modifier les paramètres du compte.

Le phénomène de divulgation au grand public d’informations sensibles s’est accéléré au cours de ces dernières années. Il s’agit d’une tendance que nous avions prévue en 2015. Les hacktivistes, les criminels et les attaquants bénéficiant de l’appui d’un gouvernement ont tous adopté la divulgation stratégique de photos privées, d’informations, de listes de clients et de codes pour humilier leur cible. Alors que certaines de ces attaques sont stratégiquement ciblées, d’autres sont purement opportunistes et profitent d’une cybersécurité médiocre.

Au mois de février, WikiLeaks a publié plus de 8 000 documents dans le cadre de « Vault 7 ». Ces documents décrivent les tactiques et les outils employés pour s’introduire dans l’équipement informatique de grands fabricants, pour déjouer les solutions de sécurité mises en place et même pour laisser de fausses pistes. Le premier lot de documents (couvrant une période comprise entre 2013 et 2016) reprenait des informations qui expliquaient comment compromettre des navigateurs, des smartphones et des ordinateurs tournant sous Windows, Mac OS et Linux. Les divulgations suivantes portaient sur le développement de malware permettant de compromettre le micrologiciel de Mac OS et iOS, et plus particulièrement le micrologiciel EFI et UEFI, ainsi que sur les méthodes permettant d’éviter la détection. Vous trouverez de plus amples informations ici et ici.

Nous devons nous attendre à la poursuite de la croissance de ce genre de pratique. Les consommateurs et les clients doivent adopter le chiffrement pour sécuriser les données sensibles. Ils doivent également veiller à appliquer les mises à jour dès qu’elles sont disponibles afin de réduire le risque de vol et de divulgation de leurs données.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *