Evolution des menaces informatiques au 2e trimestre 2017

Contenu

Attaques ciblées et campagnes de malwares

Retour vers le futur : à la recherche d’un lien entre les APT d’hier et d’aujourd’hui

Cette année, le Security Analyst Summit (SAS) a présenté les résultats de travaux intéressants sur plusieurs campagnes d’attaques ciblées. Ainsi, des chercheurs de Kaspersky Lab et du King’s College London ont présenté les résultats d’une étude sur un éventuel lien entre Moonlight Maze, une attaque de cyber-espionnage qui avait ciblé le Pentagone, la NASA et d’autres organismes il y a 20 ans et Turla, un groupe APT très moderne.

Les rapports de l’époque consacrés à Moonlight Maze indiquent qu’à partir de 1996, des réseaux militaires et gouvernementaux aux États-Unis, ainsi que des universités, des centres de recherche et même le ministère de l’Energie de ce pays ont commencé à détecter des intrusions dans leurs systèmes. Le FBI et le ministère de la Défense lançait une enquête d’envergure en 1998. Bien que l’histoire allait être rendue publique l’année suivante, la grande majorité des faits n’a jamais été divulguée, ce qui signifie qu’il plane encore un grand mystère sur Moonlight Maze. Ceci étant dit, plusieurs chercheurs ont déclaré au fil des ans que Moonlight Maze avait évolué pour devenir Turla.

En 2016, Thomas Rid, du King’s College London, réalisait des recherches pour son livre Rise of the Machines. À cette occasion, il avait retrouvé un ancien administrateur système qui travaillait à l’époque pour une organisation dont le serveur avait été détourné en tant que proxy par les auteurs de l’attaque Moonlight Maze. Ce serveur dénommé “HRTest” avait été utilisé pour lancer des attaques contre les États-Unis. Ce professionnel des technologies de l’information, qui profite désormais de sa retraite, avait conservé le serveur original et des copies de tout ce qui traitait des attaques et il a confié ces éléments au King’s College et à Kaspersky Lab afin que ceux-ci puissent réaliser des analyses plus poussées. Juan Andres Guerrero-Saade et Costin Raiu, chercheurs chez Kaspersky Lab, ont coopéré avec Thomas Rid et Danny Moore du Kings College pendant 9 mois afin de se livrer à une analyse technique détaillée de ces échantillons. Ils ont reproduit les opérations des attaquants, leurs outils et leurs techniques et ils ont mené une enquête parallèle afin de voir s’il était possible de démontrer le prétendu lien avec Turla.

Moonlight Maze était une attaque open source Unix qui visait les systèmes Solaris. Les résultats des analyses indiquent qu’elle utilisait une backdoor développée sur la base de LOKI2 (une application publiée en 1996 et qui permet aux utilisateurs d’extraire des données via des canaux masqués). Les chercheurs ont alors décidé de réexaminer de rares échantillons Linux utilisés par Turla qui avaient été découverts par Kaspersky Lab en 2014. Ces échantillons, dénommés Penguin Turla, reposaient également sur LOKI2. Qui plus est, ces nouvelles analyses allaient démontrer que tous ces échantillons utilisaient un code créé entre 1999 et 2004.

Cela peut paraître remarquable, mais il existe toujours à l’heure actuelle des attaques qui utilisent ce code. Il avait été détecté dans la nature en 2011 dans le cadre d’une attaque attribuée à Turla contre Ruag, une entreprise de défense établie en Suisse. Par la suite en mars 2017, les chercheurs de Kaspersky Lab avaient découvert un nouvel échantillon de la backdoor Penguin Turla envoyée depuis un système en Allemagne. Il se peut que Turla utilise l’ancien code pour réaliser des attaques contre des victimes qui bénéficient d’un protection très poussée qui pourrait être plus difficile à déjouer à l’aide de ses outils Windows plus standard.

Les nouveaux échantillons de Moonlight Maze qui ont été identifiés dévoilent une multitude de détails fascinants sur la manière dont les attaques ont été organisées à l’aide d’un réseau complexe de proxys et mettent en lumière les connaissances poussées et les outils de pointe des attaquants.

Turla est-il le fruit de l’évolution de Moonlight Maze ? Il est impossible de répondre à cette question pour l’instant. L’étape suivante des travaux de recherche allait se concentrer sur une opération peu connue baptisée “Storm Cloud” : l’évolution des outils employés par les opérateurs de Moonlight Maze après la divulgation des intrusions en 1999. Les premiers éléments relatifs à Storm Cloud ont commencé à faire discrètement surface en 2003. Toutefois, quelques détails nous ont amené à croire que cet ensemble d’intrusions pourrait nous permettre de trouver une réponse plus définitive.

Ces travaux sont présentés en détails ici.

Lazarus démasqué

En février 2016, un groupe de pirates (non identifiés à l’époque) avait tenté de voler 851 millions de dollars américains à la Banque centrale du Bangladesh (ils avaient réussi à transférer 81 millions de dollars américains) dans le cadre de ce qui est le cyber-cambriolage le plus audacieux et le mieux réussi de tous les temps. Des recherches menées par Kaspersky Lab et d’autres institutions ont démontré que les attaques avaient été plus que probablement organisées par Lazarus, un célèbre groupe de cyberespionnage et de sabotage qui avait fait parler de lui en 2014 après l’attaque contre Sony Pictures et qui a été l’origine d’attaques contre des usines, des médias et des institutions financières dans au moins 18 pays depuis 2009.

Grâce aux enquêtes que nous avons réalisées sur des attaques menées par ce groupe contre des institutions financières en Asie du Sud-Est et en Europe, nous sommes en mesure d’expliquer le modus operandi du groupe Lazarus.

En général, la compromission initiale survient après l’attaque contre un seul système au sein de la banque, soit via la compromission d’un serveur d’entreprise, soit via une attaque “de point d’eau”, à savoir une attaque qui héberge un code d’exploitation sur un site Internet légitime que le personnel de l’institution ciblée consulte. Ensuite, les attaquants se déplacent sur d’autres hôtes au sein de l’organisation et installent une backdoor rudimentaire sur les ordinateurs infectés. Puis le groupe prend son temps (des jours, voire des semaines) pour identifier les ressources intéressantes au sein de l’organisation. Et finalement, les attaquants déploient un malware spécial développé pour contourner les mesures de sécurité interne et réaliser des transactions bancaires clandestines.

Le groupe Lazarus frappe dans le monde entier : nous avons retrouvé des outils d’infiltration utilisés par Lazarus dans de nombreux pays au cours des 12 derniers mois.

Le groupe Lazarus est très grand et il s’est toujours concentré sur le cyberespionnage et le cyber-sabotage. L’intérêt du groupe pour l’argent est relativement récent et il semblerait qu’il existe au sein de l’organisation Lazarus une équipe spécialement chargée de la génération de revenus illicites : nous l’avons baptisée Bluenoroff. Jusqu’à présent, nous avons recensé quatre types principaux de cible : les institutions financières, les casinos, les éditeurs de logiciels pour transactions boursières et les entreprises actives dans le secteur des crypto-devises.

Parmi les campagnes les plus marquantes de Bluenoroff, il faut citer les attaques contre des institutions financières en Pologne. Les attaquants avaient réussi à compromettre un site Internet du gouvernement consulté fréquemment par de nombreuses institutions financières ; il s’agissait d’un vecteur d’attaque particulièrement puissant.

Le groupe Lazarus ne lésine sur aucun moyen pour masquer ses traces. Malgré cela, un de nos partenaires a réalisé une découverte intéressante lors de l’analyse d’un centre de commande utilisé par le groupe en Europe. Le rapport d’inforensique indiquait clairement que l’attaquant s’était connecté au serveur via le service de terminal et qu’il avait installé manuellement un serveur Apache Tomcat via un navigateur local, qu’il l’avait configuré à l’aide de Java Server Pages et puis qu’il avait chargé le script JSP pour le centre de commande. Une fois que le serveur avait été préparé de la sorte, l’attaquant réalisait des essais, tout d’abord avec un navigateur, puis exécutait exécutant des instances d’essai des backdoors. L’opérateur utilisait plusieurs adresses IP (de la France à la Corée) et réalisait les connexions via des serveurs proxy et des serveurs VPN. Toutefois, une connexion brève avait été établie au départ d’une plage d’adresses IP très inhabituelle et qui est associée à la Corée du Nord. L’opérateur avait également installé un mineur générique pour la cryptodevise Monero : ce logiciel consommait tant de ressources qu’il provoquait le ralentissement, puis l’arrêt du système. C’est peut-être la raison pour laquelle il n’a pas été correctement supprimé et que les journaux du serveur ont été préservés. Bien que le lien avec la Corée du Nord soit intéressant, cela ne signifie pas que ce pays se cache derrière toutes les attaques de Bluenoroff : il se pourrait que quelqu’un en Corée du Nord a visité le centre de commande par accident ou il pourrait s’agir d’une diversion délibérée.

Lazarus est bien plus qu’un autre groupe APT. L’ampleur des opérations du groupe Lazarus est choquante : il semble que Lazarus est à la tête d’une usine de malwares qui produit de nouveaux outils dès que les anciens sont “grillés”. Le groupe adopte différentes techniques d’obfuscation du code, réécrit ses propres algorithmes, applique des solutions de protection de logiciels vendues dans le commerce et utilises ses propres compacteurs ou des compacteurs clandestins. En règle générale, le groupe utilise des backdoors rudimentaires lors de la première étape de l’attaque. La découverte de celles-ci n’a pas vraiment d’impact sur le groupe. Toutefois, si la porte dérobée de la première étape signale une infection intéressante, le groupe se met à développer un code plus sophistiqué et le protège soigneusement contre toute détection accidentelle sur le disque : Le code est placé dans un chargeur DLL ou stocké dans un conteneur chiffré. Il est parfois dissimulé dans une valeur de registre chiffrée binaire. Ce dispositif est accompagné d’un programme d’installation que seuls les attaquants peuvent utiliser car son accès est protégé par un mot de passe. Ainsi, les systèmes automatisés, qu’il s’agisse d’un bac à sable public ou d’un environnement de recherche, ne verront jamais la véritable charge utile. Ce niveau de sophistication est peu fréquent dans le monde de la cybercriminalité. Il requiert une organisation et un contrôle stricts à chaque étape de l’opération. Ceci explique également pourquoi Lazarus a diversifié ses opérations en vue d’engranger des revenus illicites car ses opérations principales coûtent très cher.

La meilleure manière de se protéger contre les attaques ciblées consiste à adopter une démarche à plusieurs niveaux qui réunit les technologies traditionnelles de lutte contre les malwares et la gestion des correctifs, la détection des intrusions sur l’hôte et une stratégie de liste blanche basée sur le refus par défaut. D’après une étude réalisée par l’Australian Signals Directorate, 85 pour cent des attaques ciblées peuvent être déjouées en suivant quatre stratégies élémentaires d’atténuation des risques : création d’une liste blanche d’applications, mise à jour des applications, mise à jour des systèmes d’exploitation et restriction des privilèges d’administrateur.

Notre rapport sur les activités du groupe Lazarus est disponible ici.

Faire sauter la banque

Dans le cadre du Security Analyst Summit de cette année, Sergey Golovanov et Igor Soumenkov, deux de nos chercheurs, ont présenté trois cas où des cybercriminels avaient voler de l’argent dans des DAB.

Le premier, ATMitch, impliquait la compromission de l’infrastructure de la banque dans le but de contrôle à distance le fonctionnement du DAB. Les attaquants pénétraient dans les serveurs de la banque ciblée à l’aide d’une vulnérabilité non éliminée. Ils infectaient les ordinateurs de la banque à l’aide de code open source et d’outils commercialisés ouvertement. Toutefois, le malware qu’ils avaient créé se trouvait uniquement dans la mémoire et non pas sur les disques durs et presque toutes les traces du malware étaient supprimées après le redémarrage de l’ordinateur. Après l’infection, les attaquants établissaient une connexion avec le serveur de commande, ce qui leur permettaient d’installer le malware à distance sur les DAB. Comme l’opération ressemblait à une mise à jour légitime, elle ne déclenchait aucune alarme au sein de la banque. Une fois installé, le malware recherchait le fichier ‘command.txt’. Ce fichier contient les instructions à un caractère qui commandent le DAB. Le malware émet d’abord une commande pour connaître la quantité d’argent disponible dans le DAB, ensuite il émet une autre commande pour activer la distribution d’argent. Les billets sont récoltés par une mule qui attend à proximité du DAB. Le malware écrit ensuite toutes les informations relatives à l’opération dans le fichier journal et efface le contenu du fichier ‘command.txt’.

Le personnel de la banque s’était interrogé sur la présence éventuelle d’un malware après avoir détecté le fichier ‘kl.txt’. Pensant que ce fichier pouvait avoir un rapport avec Kaspersky Lab, la banque nous a contacté et nous a confié l’enquête. Nous avons élaboré une règle YARA afin de rechercher ce fichier dans nos systèmes et nous avons ainsi appris que nous l’avions déjà rencontré à deux reprises : une fois en Russie et une fois au Kazakhstan. Nous avons pu alors soumettre le malware à une opération de rétroingénierie afin de comprendre le déroulement de l’attaque.

L’enquête sur une des autres attaques contre des banques avait également débuté suite à une demande de la banque. Il manquait de l’argent, mais les journaux des DAB ne disaient rien et les criminels avaient masqué la caméra CCTV, si bien qu’il n’y avait aucune image de l’attaque. La banque livra le DAB dans nos bureaux et après l’avoir démonté, nous avons remarqué qu’un adaptateur Bluetooth était connecté au concentrateur USB du DAB. Les criminels avaient installé un adaptateur Bluetooth sur le DAB et ils avaient attendu trois mois pour que le journal s’efface. Ils étaient ensuite revenus au DAB, avaient recouvert les caméras de sécurité, puis, à l’aide d’un clavier Bluetooth, ils avaient redémarré le DAB en mode d’entretien et vider tout son contenu.

Une autre attaque, qui elle aussi avait débuté après qu’une banque nous avait demandé d’enquêter sur un vol de DAB, se révéla beaucoup plus primaire dans son exécution. Nous avons trouvé un orifice de 4 cm de diamètre environ percé à proximité du pavé numérique. Peu de temps après, nous avons appris que des attaques similaires avaient été organisées en Russie et en Europe. Après l’arrestation d’un suspect avec son laptop et des câbles, la situation est devenue plus claire. Nous avons démonté le DAB pour tenter de comprendre ce que l’attaquant pouvait bien chercher via cet orifice. C’est ainsi que nous avons trouvé une tête à 10 broches connectée à un bus qui connecte tous les composants du DAB et un chiffrement faible que nous avions pu déchiffrement rapidement. N’importe quelle pièce du DAB pouvait servir à commander toutes les autres et vu qu’il n’existait aucune authentification entre les pièces, n’importe laquelle d’entre elles pouvait être remplacée sans que les autres s’en aperçoivent. Nous avons dû dépenser 15 dollars et quelques heures pour créer un circuit imprimé élémentaire capable de commander le DAB une fois connecté au bus en série. Nous avions pu notamment provoquer la distribution de billets.

Comme l’ont indiqué nos chercheurs, la solution au problème n’est pas simple. Il faut appliquer une mise à jour matérielle pour éliminer la vulnérabilité et cette opération ne peut pas être réalisée à distance : un technicien doit intervenir physiquement sur tous les DAB concernés afin d’installer la mise à jour.

Si vous souhaitez en savoir plus sur ces incidents, lisez ce billet.

Voici le clan Lambert

Nous avons publié au mois d’avril un rapport sur un auteur de menace avancée dont la complexité n’est pas sans rappeler Duqu, Equation, Regin ou ProjectSauron. Ce groupe, que nous avons baptisé “Les Lambert” (et qui est également connu sous le nom de “Longhorn”) a attiré l’attention du petit monde de la sécurité pour la première fois en 2014 quand des chercheurs de FireEye ont identifié une attaque qui exploitait une vulnérabilité 0jour (CVE-2014-4148). Cette attaque ciblait des organisations de haut vol en Europe à l’aide d’un malware que nous avons baptisé “Lambert noir”.

Le groupe a mis au point et utilisé des outils sophistiqués pour réaliser ces attaques depuis au moins 2008. Il s’agit notamment de backdoors axées sur le réseau, de plusieurs générations de backdoors modulaires, d’outils de collecte de données et de wipers. La création des échantillons les plus récents remonte à 2016. Il existe actuellement des versions pour Windows et OS X. Toutefois, étant donné la complexité de ces projets et l’existence d’un implant pour OS X, nous pensons qu’il est plus que probable que d’autres instances de Lambert existent pour d’autres plateformes comme Linux.

Lambert blanc est exécuté en mode kernel et intercepte le trafic réseau sur les ordinateurs infectés. Il déchiffre les paquets préparés dans un format spécial afin d’extraire les instructions. Afin d’établir une opposition avec les implants actifs “Lambert noir”, nous avons appelé ces portes dérobées passives “Lambert blanc”.

Par la suite, nous avons découvert une autre génération de malwares que nous avons baptisée “Lambert bleu”.

Un de ces échantillons s’avère intéressant car il semble qu’il a été utilisé en tant que malware lors de la 2e étape d’une attaque de haut vol qui impliquait le malware Lambert noir.

La famille d’échantillon baptisée “Lambert vert” est en réalité une version plus légère et plus fiable, mais aussi plus ancienne, de Lambert bleu. Alors que la majorité des versions de Lambert bleu possède des numéros de version dans la plage 2.x, Lambert vert contient principalement des versions 3.x. Ce point est en contradiction avec les données récoltées dans l’horodatage des exportations et l’activité du domaine du centre de commande qui indiquent que Lambert vert est bien plus ancien que Lambert bleu. Il se pourrait que les versions Bleu et Vert ont été développées en parallèle par deux équipes différentes sous la même casquette, en tant que différentes versions d’un logiciel et qu’une des deux a été déployée plus tôt que l’autre.

Les signatures créées pour Lambert Vert (Windows) ont également réagi sur une version OS X de Lambert Vert, avec un numéro de version très petit : 1.2.0. Elle avait été chargée sur un service de balayage multiple en septembre 2014. La version OS X de Lambert Vert possède de nombreuses fonctions identiques à celles de la version Windows, mais elle est également privée de certaines d’entre elles comme l’exécution de plug-ins directement dans la mémoire.

Kaspersky Lab a détecté des instances de Lambert bleu, noir et vert dans un groupe relativement restreint de victimes à travers le monde. Dans le cadre de notre enquête sur ces infections par Lambert blanc (implant axé sur le réseau) et Lambert bleu (implant actif), nous avons détecté une autre famille d’outils qui semble liée aux autres. Nous avons baptisé cette famille “Lambert rose”.

Les outils Lambert Rose contiennent un implant de balisage, un module de collecte de données USB et un framework d’ordonnancement multiplateforme qui permet de créer un malware indépendant du système d’exploitation. Des versions de cet ordonnanceur particulier ont été décelées chez d’autres victimes avec des échantillons de Lambert blanc, ce qui indique un lien étroit entre les familles Lambert blanc et Lambert rose.

Dans le cadre de notre recherche d’autres malwares non détectés chez les victimes de Lambert blanc, nous avons trouvé une autre famille qui semble apparentée elle aussi aux Lambert. Cette nouvelle famille, Lambert gris, est la version la plus récente des outils de réseau passifs de l’arsenal Lambert. Par son style, le code de Lambert gris évoque le module de collecte de données USB de Lambert rose. Mais la fonction, elle, évoque celle de Lambert blanc. Par rapport à Lambert blanc, Lambert gris s’exécute en mode utilisateur et n’a pas besoin d’exploiter un pilote signé vulnérable afin de charger un code arbitraire sur des systèmes Windows 64 bits.

Après avoir établi le lien entre ces différentes familles selon le code partagé, les formats de données, le serveur de commande et les victimes, nous avons réussi à dresser le panorama général suivant :

Le développement des outils Lambert s’étend sur plusieurs années et l’activité la plus forte a été enregistrée en 2013 et 2014.

Globalement, ces outils contiennent un malware extrêmement sophistiqué qui exploite des techniques de haut niveau pour analyser le trafic réseau, exécuter des plug-ins en mémoire sans toucher le disque et utiliser des failles d’exploitation contre les pilotes signés afin d’exécuter un code sans signature sur des systèmes Windows 64 bits.

À titre d’exemple complémentaire des capacités des attaquants à l’origine des outils Lambert, citons le déploiement de Lambert noir qui incluait un code d’exploitation 0jour TTF assez sophistiqué : CVE-2014-4148. Sur la base de ces éléments, nous plaçons Lambert au même niveau de complexité que Duqu, Equation, Regin ou ProjectSauron : il s’agit d’un des ensembles d’outils de cyberespionnage les plus sophistiqués que nous avons jamais analysé.

Dans la majorité des cas, la méthode d’infection est inconnue, ce qui signifie qu’il nous manque toujours de nombreux détails sur ces attaques et le ou les groupes qui les utilisent.

Si vous souhaitez en savoir plus sur le clan Lambert, lisez ce rapport.

La seule protection efficace contre de telles menaces consiste à déployer plusieurs couches de sécurité, avec des capteurs capables de détecter la moindre anomalie dans le flux de travail de l’organisation, sans oublier la collecte de renseignements sur les menaces et les analyses d’investigation numérique.

Nous maintenons la surveillance des activités du clan Lambert ainsi que celles d’autres groupes spécialisés dans les attaques ciblées. En vous abonnant à nos rapports de renseignements sur les campagnes APT, vous bénéficiez de l’accès à nos enquêtes et à nos découvertes en temps réel, y compris aux données techniques globales.

Histoires de malware

Un Internet des objets encore plus vulnérable

Les pirates visent de plus en plus des appareils qui appartiennent à l’Internet des objets. Un des exemples les plus frappants nous est offert par le réseau de zombies Mirai qui avait mis une partie d’Internet hors service en octobre 2016 après avoir piraté des appareils domestiques (comme des enregistreurs numériques, des caméras de vidéosurveillance).

Dans nos prévisions pour 2017, nous avions laissé entendre que des pirates pourraient également cibler des appareils de l’Internet des objets pour attirer l’attention sur les lacunes criantes de sécurité dans certains appareils, voire créer un “Internet des briques”. De plus, de récents rapports (ici et ici) indiquent qu’il existe un malware de l’Internet des objets conçu spécialement pour atteindre ce résultat.

Nous avons publié en avril une analyse consacrée au réseau de zombies Hajime. Ce malware, signalé pour la première fois en octobre 2016 par Rapidity Networks infecte des appareils de l’Internet des objets dont les ports Telnet sont ouverts et qui ont conservé les mots de passe par défaut. Hajime est un immense réseau P2P qui comptait près de 300 000 appareils à l’époque de notre rapport (25 avril). Ce malware est en évolution constante. Des fonctionnalités ne cessent d’être ajoutées ou retirées. L’aspect le plus mystérieux d’Hajime est son rôle. Le réseau de zombies grandit, en partie à cause de nouveaux modules d’exploitation, mais son rôle demeure inconnu. Jusqu’à présent, il n’est intervenu dans aucune activité malveillante. Et il se peut que cela ne soit jamais le cas car à chaque fois qu’un nouveau fichier de configuration est téléchargé, un extrait de texte est affiché pendant le traitement de la nouvelle configuration :

Bien entendu, même s’il n’est pas exploité pour nuire délibérément, il peut malgré tout avoir un impact négatif sur le fonctionnement normal d’un appareil infecté.

Hajime, à l’instar d’autres malwares conçus pour infecter des appareils de l’Internet des objets, joue sur fait que les utilisateurs modifient rarement les informations d’identification définies par défaut sur leur nouvel appareil intelligent. Cela simplifie la tâche des attaquants : il leur suffit de trouver le mot de passe par défaut. De plus, bon nombre de périphériques n’ont pas de mise à jour du micrologiciel. Les périphériques de l’Internet des objets sont également intéressants pour les cybercriminels car ils demeurent connectés en permanence.

Aujourd’hui, les appareils intelligents sont partout. Il s’agit d’objets de tous les jours comme des téléphones, des téléviseurs, des thermostats, des réfrigérateurs, des moniteurs de surveillance de bébés, des bracelets connectés, voire des jouets pour enfants. Toutefois, il ne faut pas oublier non plus, les véhicules, les dispositifs médicaux, les caméras de vidéosurveillance et les parcmètres. Et désormais, nous pouvons également ajouter les drones à cette liste.

Lors du Security Analyst Summit, Jonathan Andersson, expert en sécurité, a illustré comment un attaquant doué pourrait créer un dispositif capable de prendre les commandes d’un drone en quelques secondes. À l’aide d’une radio logicielle (SDR), d’une unité de commande de drone et un micro-ordinateur et d’autres équipements électroniques, il a réussi à créer ce dispositif en question qu’il a baptisé “Icarus”. Il l’a ensuite utilisé pour capter la fréquence utilisée par le drone en vue de communiquer avec son dispositif de commande, puis il s’est livré à des expériences jusqu’à ce qu’il comprenne exactement comme les signaux étaient transmis entre les appareils.

D’après Andersson, cette menace peut avoir un impact sur l’ensemble du secteur des drones, depuis les jouets jusqu’aux appareils professionnels, car les drones et les dispositifs de commande utilisent des protocoles de transfert de données qui sont vulnérables à ce même type d’attaque. S’il est vrai qu’un chiffrement plus robuste pourrait résoudre le problème, la solution n’est pas aussi simple que cela car il existe de nombreux dispositifs de commande qui n’acceptent pas les mises à jour logicielles. Un chiffrement robuste requiert également de sérieuses capacités de calcul, ce qui entraîne une hausse de la consommation d’énergie du dispositif de commande et du drone.

Certains pourraient penser que pirater un drone est une idée saugrenue, mais il faut bien comprendre que l’utilisation des drones se répand. En décembre dernier, Amazon a testé l’utilisation de drones pour livrer des colis.

Notre synthèse sur les menaces croissantes qui planent sur l’Internet des objets et nos conseils sur les mesures que vous pouvez adopter afin de vous protéger contre les malwares qui ciblent l’Internet des objets sont présentés ici.

De l’extorsion à ExPetr

La menace que posent les ransomwares ne cessent de croître. Entre avril 2016 et mars 2017, nous avons bloqué des ransomwares sur les ordinateurs de 2 581 026 clients de Kaspersky Lab. Ceci représente une augmentation de 11,4 % par rapport aux 12 mois précédents. Notre rapport complet sur le développement du ransomware en 2016-2017 est accessible ici, mais voici quelques tendances clés.

  • Le modèle qui repose sur l’extorsion ne vas pas disparaître et nous observons une concurrence de plus en plus forte entre les différents groupes criminels qui utilisent les ransomwares. Ils ciblent également des pays qui avaient été épargnés jusqu’à présent et dont les citoyens sont moins bien préparés pour faire face à cette menace.
  • The extortion model is here to say and we’re seeing growing competition between ransomware gangs. They’re also targeting countries that had previously been unaffected – where people are less well-prepared to deal with the threat.
  • Nous observons de plus en plus d’attaques de ransomwares ciblées pour la bonne et simple raison que les attaques contre les entreprises sont plus rentables.
  • We’re seeing increasingly targeted ransomware attacks – quite simply because attacks on businesses are more profitable.
  • Le ransomware devient plus sophistiqué et se diversifie. Il existe de nombreuses solutions “clé sur porte” destinées aux individus malintentionnés qui ne disposent pas des connaissances, de l’argent ou du temps requis pour développer leur propre ransomware. Ces offres sont diffusées via un écosystème clandestin de plus en plus efficace.
  • Ransomware is growing in sophistication and diversity, offering many ready-to-go solutions to those with fewer skills, resources or time – through a growing and increasingly efficient underground eco-system.
  • On observe la mise en place d’une infrastructure réservée aux criminels qui alimente le développement d’outils simples à utiliser et personnalisés dans le but d’organiser des attaques ciblées et d’extorquer de l’argent. Les attaques sont plus éparses.
  • The establishment of a criminal-to-criminal infrastructure that is fuelling the development of easy-to-go, ad hoc tools to perform targeted attacks and extort money, making attacks more dispersed.
  • Les initiatives internationales comme No More Ransom destinées à protéger le public contre le ransomware vont devenir de plus en plus communes.
  • Global initiatives to protect people from crypto-ransomware, such as No More Ransom, will continue to gain momentum.

Le mois de mai aura été le témoin de la plus grande épidémie de ransomware de l’Histoire avec WannaCry. C’est en Russie que le nombre le plus élevé d’attaques a été enregistré, mais cette campagne a également fait des victimes dans 74 pays dont l’Ukraine, l’Inde et Taïwan. Le malware s’est répandu très vite : nous avons recensé plus de 45 000 infections en un seul jour (par la suite, Europol a estimé que plus de 200 000 personnes avaient été victimes de WannaCry).

WannaCry s’est propagé en profitant d’un code d’exploitation Windows baptisé “EternalBlue” qui repose sur une vulnérabilité, éliminée par Microsoft suite à la mise à jour de sécurité MS17-010. Cette mise à jour de Microsoft avait été publiée le 14 mars, un mois avant que le code d’exploitation EternalBlue ne devienne accessible suite à la divulgation “Shadow Broker”. Toutefois, de nombreuses organisations n’avaient pas appliqué le correctif, ce qui avait permis aux attaquants d’accéder à distance aux systèmes des entreprises. Ensuite, il s’était propagé aux autres ordinateurs du réseau qui ne possédaient pas non plus le correctif.

À l’instar des autres malwares de chiffrement, WannaCry chiffre les fichiers de l’ordinateur infecté et exige une rançon pour le déchiffrement.

Au début, la rançon s’élevait à 300 dollars américains, mais elle a atteint 600 dollars américains alors que l’épidémie prenait de l’ampleur.

Pour être certain que les victimes ne manquent pas l’avertissement, le malware changeait le fond d’écran et affichait les instructions pour trouver l’outil de déchiffrement fourni par le malware.

Nos travaux ont confirmé que le code de WannaCry est de qualité médiocre et que les développeurs ont commis de nombreuses erreurs qui ont permis aux victimes de récupérer les données chiffrées. La manière dont les attaquants géraient le paiement des rançons limitait leur capacité à profiter de la propagation du ver. Plusieurs tentatives de suivre les transactions vers les portefeuilles bitcoin des attaquants ont été réalisées. Bien que les estimations sur l’argent empoché par les attaquants varient, on peut affirmer que cette somme se chiffre en dizaines de milliers et non pas en centaines.

La ligne du temps des attaques au cours de la première semaine montre l’impact des efforts de cybersécurité fournis pour lutter contre cette menace.

L’un des plus importants d’entre eux fut la découverte d’un processus de désactivation à distance. Une vérification spéciale se déroule au début du code. Elle tente d’établir une connexion à un site Internet codé en dur : si la connexion échoue, l’attaque se poursuit et si la connexion est établie, le code s’arrête. En enregistrant ce domaine et en le pointant vers un serveur “sink hole”, un chercheur britannique a réussi à ralentir le rythme d’infection du ver.

Quelques jours après le début de l’épidémie, Neel Mehta, chercheur chez Google, a publié un tweet étrange avec le hashtag #WannaCryptAttribution en faisant référence à une ressemblance entre deux échantillons de code. Un des échantillons était un échantillon de WannaCry datant de février 2017 qui ressemblait à une des versions antérieures du ver. L’autre était un échantillon de Lazarus de février 2017. Kaspersky Lab et d’autres acteurs ont confirmé cette ressemblance. Il est trop tôt pour affirmer que WannaCry fut l’œuvre de Lazarus. Il convient de réaliser des études complémentaires pour voir s’il existe vraiment un lien entre tous ces éléments.

Notre billet original publié dans le blog est accessible ici, les FAQ sont présentées ici et notre comparaison entre les échantillons de WannaCry et de Lazarus est reprise ici.

Vers la fin du mois de juin, nous avons reçu des rapports sur une nouvelle vague d’attaques de ransomware. Le malware, que nous avons baptisé ExPetr (mais qui est également connu sous le nom de Petya, Petrwrap et NotPetya) visait surtout des entreprises en Ukraine, en Russie et en Europe, près de 2 000 au total.

ExPetr utilise une version modifiée du code d’exploitation EternalBlue ainsi qu’un autre code d’exploitation divulgué par Shadow Brokers et baptisé “EternalRomance”. Ce malware se propage sous la forme d’une mise à jour de MeDoc, une application de comptabilité ukrainienne, et via des attaques selon le principe du point d’eau. Une fois à l’intérieur de l’organisation cible, le ransomware utilise des outils personnalisés pour extraire les informations d’authentification du processus lsass.exe et les transmettre aux outils PsExec ou WMIC pour la suite de la diffusion au sein du réseau.

Le malware attend entre 10 minutes et une heure avant de redémarrer l’ordinateur, puis chiffre la MFT en partitions NTFS et écrase le MBR avec un programme de chargement personnalisé qui contient la demande de rançon.

ExPetr chiffre les fichiers et la table de fichiers principale (MFT). Les attaquants exigeaient un rançon de 300 dollars américains en Bitcoins afin de remettre la clé de déchiffrement des données, à payer sur un compte Bitcoin unifié. En principe, et à la différence de WannaCry, cette technique aurait pu fonctionner car les attaquants demandaient aux victimes d’envoyer leur numéro de portefeuille par courrier électronique à l’adresse wowsmith123456@posteo.net, ce qui confirmait la transaction. Toutefois, ce compte de messagerie a rapidement été mis hors ligne, ce qui a limité les possibilités des attaquants en terme de revenu.

Après une analyse plus poussée de la routine de chiffrement, nous sommes arrivés à la même conclusion que d’autres chercheurs, à savoir que les attaquants ne peuvent pas déchiffrer les disques des victimes même si la rançon est versée. Ceci semble indiqué qu’ExPetr était un wiper qui se faisait passer pour un ransomware. Il se pourrait même qu’il existe un lien entre ExPetr et le ransomware BlackEnergy KillDisk de 2015 et 2016.

ExPetr n’était pas le seul ransomware qui a été distribué via des mises à jour de MeDoc le 27 juin. C’est ainsi qu’un autre ransomware, que nous avons baptisé FakeCry, fut également distribué aux clients de MeDoc à la même époque. D’après nos données, 90 organisations situées pour la plupart en Ukraine ont reçu ce malware.

S’il est vrai que l’interface et les messages ressemblent très fort à ceux de WannaCry, il s’agit d’une toute autre famille de malware. Nous pensons que FakeCry a été conçu en pensant à des opérations de diversion. Une des questions les plus intéressantes porte sur un éventuel lien de parenté entre FakeCry et ExPetr comme le laisse penser le fait que ces deux malwares ont été diffusés à la même époque via des mises à jour MeDoc.

Voici nos recommandations pour vous protéger contre les attaques de ransomwares.

  • Adoptez une robuste suite logicielle de protection contre les malwares avec une protection intégrée contre les ransomwares (comme System Watcher de Kaspersky Lab).
  • Run a robust anti-malware suite with embedded anti-ransomware protection (such as Kaspersky Lab’s System Watcher).
  • Appliquez les mises à jour de sécurité du système d’exploitation et des applications dès qu’elles sont diffusées.
  • Apply security updates for your operating system and applications as soon as they become available.
  • N’ouvrez pas les pièces jointes ou ne cliquez pas sur les liens en provenances de sources douteuses.
  • Do not open attachments, or click on links, from untrusted sources.
  • Réalisez des sauvegardes des données sensibles dans un système de stockage externe qui n’est pas en ligne.
  • Backup sensitive data to external storage and keep it offline.
  • Ne payez jamais la rançon. Cela motive les prochains attaquants et qui plus est, rien ne garantit que les criminels respecteront leur promesse de déchiffrer les données.
  • Never pay the ransom. Not only does this fuel the next wave of ransomware attacks, but also there is no guarantee that the criminals will restore your data.

Posts similaires

Leave a Reply

Your email address will not be published. Required fields are marked *