Kaspersky Security Bulletin 2010. Développement des menaces en 2010

  1. Développement des menaces en 2010
  2. Kaspersky Security Bulletin 2010. Principales statistiques pour 2010
  3. Kaspersky Security Bulletin 2010. Spam en 2010

Ce rapport s’inscrit dans la série des rapports analytiques annuels proposés par Kaspersky Lab. Il aborde les principaux problèmes qui touchent les particuliers et les entreprises en matière d’informatique et qui sont liés à l’exécution de programmes malveillants, potentiellement indésirables ou d’escroquerie, ainsi qu’au courrier indésirable, à l’hameçonnage et à diverses activités de pirates informatiques.

Ce rapport a été rédigé par les spécialistes de la Global Research & Analysis Team (GReAt, équipe internationale de recherche et d’étude) en collaboration avec les départements Content&Cloud Technology Research et Anti-Malware Research de Kaspersky Lab.

2010: l’année des vulnérabilités

Au vu des événements impliquant des programmes malveillants, nous pouvons dire que l’année 2010 aura été une copie pratiquement conforme de l’année antérieure. Aucun changement n’a été observé dans les tendances et les directions générales des attaques, mais on note toutefois le passage à un autre niveau en terme de qualité des technologies employées.

Le volume de nouveaux programmes malveillants détectés par mois se maintient au niveau de 2009 et on enregistre une baisse d’activité pour certains types de programmes malveillants. Nous avions déjà évoqué cette stabilisation du flux des programmes malveillants dans notre dernier rapport annuel. Les causes restent les mêmes : la baisse d’activité de toute une série de chevaux de Troie (chevaux de Troie de jeux), la lutte active des forces de l’ordre, des opérateurs de télécommunication et des éditeurs de logiciels antivirus contre les services criminels et les groupes de cybercriminels. De plus, la réduction du nombre de faux antivirus que nous escomptions a également eu un effet sur la stabilisation du nombre de programmes malveillants.

Nombre de programmes malveillants dans la collection de Kaspersky Lab

Toutefois, la stabilisation du nombre de programmes malveillants ne signifie pas la stabilisation du nombre d’attaques. Tout d’abord, les programmes malveillants sont de plus en plus complexes. Leur niveau technologique a sensiblement augmenté en comparaison à l’année dernière. Ensuite, la majorité des attaques sont réalisées via un navigateur à l’aide de nombreuses vulnérabilités dans les navigateurs et dans les applications d’éditeurs tiers intégrées à ceux-ci. Ainsi, un seul et même programme malveillant peut se propager via des dizaines de vulnérabilités, ce qui entraîne une augmentation proportionnelle du nombre d’attaques.

Si l’on étudie les attaques dans l’ensemble des incidents que nous avons relevés, quatre types d’incidents principaux se dégagent :

  • Attaques via Internet (détectées à l’aide de l’Antivirus Internet) ;
  • Incidents locaux (enregistrés sur les ordinateurs des utilisateurs) ;
  • Attaques de réseau (détectées à l’aide d’IDS) ;
  • Incidents dans le courrier électronique.

Pour la première fois depuis que nous réalisons ces études, le nombre d’incidents des deux premières catégories a dépassé 1,9 milliard en 2010. Les attaques via le navigateur ont atteint près de 30 % du nombre total de ces incidents (plus de 500 000 000 des attaques repoussées). Une analyse plus détaillée de ces données sera présentée dans la partie statistique du rapport.

Le thème principal de l’année 2010 aura été les vulnérabilités. Ce sont les vulnérabilités qui ont été les plus souvent utilisées pour permettre aux programmes malveillants d’infiltrer les ordinateurs. L’abandon par les cybercriminels de l’utilisation de vulnérabilités dans les logiciels de Microsoft au profit de l’exploitation de vulnérabilités dans les logiciels d’Adobe et d’Apple (Safari, Quicktime, iTunes) se poursuit. L’élément clé dans ces attaques sont les chaînes de codes d’exploitation qui utilisent diverses vulnérabilités dans les navigateurs et leurs modules externes. En 2010, le leader absolu en terme d’incidents impliquant des vulnérabilités sont les codes d’exploitation qui utilisent les vulnérabilités dans les logiciels de la société Adobe.

Alors que par le passé les cybercriminels utilisaient les vulnérabilités principalement au stade de l’introduction initiale dans le système, nous avons découvert en 2010 quelques programmes malveillants qui utilisent différentes vulnérabilités à toutes les étapes de leur fonctionnement. Certains de ces programmes utilisaient des vulnérabilités de type 0jour, par exemple le ver Stuxnet.

Bilan de l’année

S’agissant de nos prévisions sur les voies les plus probables de développement de la cybercriminalité et des types d’attaque, elles se sont presque toutes vérifiées.

Augmentation du nombre d’attaques via les réseaux d’échange de fichiers (confirmé)

En 2010, les réseaux P2P sont bel et bien devenus une des principales sources de diffusion des programmes malveillants sur les ordinateurs et d’après nos estimations, ce vecteur d’attaque occupe la deuxième place en terme du nombre d’incidents, juste derrière les attaques menées via les navigateurs.
Presque tous les types de menaces ont été diffusés via les réseaux d’échange de fichiers : virus de fichiers, faux antivirus, portes dérobées et tous les vers possibles et imaginables. De plus, ces réseaux sont devenus le principal vecteur de diffusion de nouvelles menaces comme ArchSMS.

Le renforcement de l’activité des cybercriminels dans les réseaux P2P a été confirmé par les experts d’autres sociétés spécialisées en sécurité informatique. Ainsi, la société Cisco évoque dans son rapport du premier trimestre 2010 une augmentation sensible du nombre d’attaques dans trois réseaux parmi les plus populaires : BitTorrent, eDonkey et Gnutella.

Le début des épidémies dans les réseaux P2P remonte au mois de mars, époque où le nombre d’incidents recensés par Kaspersky Security Network dépassa pour la première fois 2,5 millions de cas par mois. À la fin de l’année, les estimations les plus modestes évoquaient 3,2 millions d’attaques.

Notez que ces indicateurs concernent uniquement les programmes malveillants qui se propagent automatiquement via les réseaux P2P (vers). Outre les vers, les réseaux d’échange de fichiers contenaient un nombre considérable de chevaux de Troie et de virus. Ainsi, le nombre total d’incidents a pu atteindre 10 millions de cas par mois.

Lutte pour le trafic (confirmée)

Les partenariats demeurent une des principales méthodes de coopération entre les groupes de cybercriminels et les services illicites de création de nouveaux réseaux de zombies, de gestion de réseaux existant et de redistribution de la puissance des réseaux de zombies vers de nouveaux types d’activité.

Outre les activités ouvertement criminelles telles que l’infection de sites Web légitimes et l’infection d’ordinateurs via la technique des téléchargements à la dérobée, l’année 2010 aura été marquée par le recours de plus en plus fréquent à des moyens de gagner de l’argent qui se situent à la limite de la légalité. Il s’agit de diverses méthodes pour amener un utilisateur à télécharger volontairement des fichiers, l’utilisation de sites « détournés » pour le référencement noir, les liens qui captent l’attention ou la diffusion de logiciels publicitaires ainsi que la redirection du trafic vers des sites pour adultes.

Les modes de fonctionnement de ces partenariats sont décrits en détail dans l’article intitulé « Internet et ses dangers ».

Épidémies et programmes malveillants toujours plus complexes (confirmé)

L’année 2010 n’aura été marquée par aucune épidémie comparable par la taille, la vitesse et l’attention suscitée, à l’histoire du ver Kido (Confiker) en 2009. Toutefois, si l’on aborde ces facteurs séparément, le nombre de programmes malveillants apparus au cours de l’année écoulée présentait sans le moindre doute les caractéristiques des épidémies (à l’échelon international).

Les réseaux de zombies tels que Mariposa, Zeus, Bredolab, TDSS, Koobface, Sinowal, Black Energy 2.0 ont fait l’objet de nombreuses publications et ont été au cœur de nombreuses enquêtes en 2010. Derrière chacun de ces noms, nous retrouvons des millions d’ordinateurs infectés à travers le monde. Toutes ces menaces figurent parmi les programmes malveillants les plus complexes au niveau de la technologie.

Non seulement ont-ils été diffusés par tous les moyens disponibles, en commençant par le courrier traditionnel, mais ils furent les premiers à se propager via les réseaux sociaux et les réseaux d’échange de fichiers. Certaines de ces menaces furent des pionnières dans le milieu des programmes malveillants pour les plateformes 64 bits et nombreuses d’entre elles se sont propagées à l’aide de vulnérabilités de type 0jour.

Il convient d’ajouter à cette liste le ver Stuxnet, un programme unique qui marque le passage de la création de virus à un tout autre niveau. Il aura fallu plus de trois mois aux experts de la lutte contre les virus pour analyser et comprendre la fonction et le fonctionnement de tout ses composants. Stuxnet devint le principal sujet de discussion dans le monde de la sécurité informatique au deuxième semestre 2010 et il a laissé loin derrière tous les autres programmes malveillants.

Nous voyons que les programmes malveillants les plus répandus sont également les plus complexes du point de vue technologique. Ceci place la barre plus haut pour les éditeurs de logiciels antivirus qui livrent une véritable bataille technologique. Il ne suffit pas de pouvoir détecter 99 % des millions de programmes malveillants en circulation à l’heure actuelle mais d’être dans l’incapacité de détecter et de neutraliser un seul programme qui constitue une menace assez complexe (et qui sera largement diffusée).

Réduction du nombre de faux antivirus (confirmé)

Cette prévision avait fait l’objet de nombreux débats, même chez mes collègues. Pour qu’elle puisse se matérialiser, il fallait des facteurs complémentaires tels que la modification des principales sources de revenu des propriétaires et des membres des partenariats, la riposte des éditeurs de logiciels antivirus et des autorités judiciaires et l’existence d’une concurrence sérieuse entre les différents groupes de cybercriminels impliqués dans la création et la diffusion de faux antivirus.

Au moment de dresser le bilan de cette année sur la base des statistiques obtenues à l’aide de KSN, nous pouvons affirmer que la réduction du nombre de faux antivirus dans le monde a bel et bien eu lieu. Après avoir atteint un pic en février et mars 2010 (environ 200 000 incidents par mois), la diffusion de faux antivirus vers la fin de l’année 2010 a été divisée par 4. On peut également observer l’orientation régionale des antivirus existants. Les escrocs ont cessé les diffusions globales et se sont concentrés sur un nombre restreint de pays (États-Unis, France, Allemagne et Espagne).

Attaques contre et dans Google Wave (non confirmé)

Ce projet a été abandonné par la société Google au milieu de l’année 2010 sans avoir jamais vraiment fonctionné à plein régime et sans avoir atteint une masse critique d’utilisateurs. C’est la raison pour laquelle les prévisions relatives aux attaques contre ce service et ses utilisateurs ne se sont pas vérifiées.

Attaques contre l’iPhone et Android (confirmé partiellement)

Les premiers programmes malveillants pour l’iPhone et un logiciel espion pour Android ont été détectés en 2009. Pour 2010, nous avions prévu un renforcement de l’intérêt des individus malintentionnés pour ces plateformes.
S’agissant de l’iPhone, aucun incident impliquant de véritables programmes malveillants comparables au ver Ike de 2009 n’a été enregistré. Mais 2010 aura malgré tout vu l’apparition de quelques programmes de concept démontrant les outils que les cybercriminels pourraient adopter. Il convient de signaler le programme SpyPhone, créé par un chercheur suisse, capable d’accéder sans autorisation aux informations relatives à l’appareil, à son emplacement, aux intérêts, aux mots de passe et à l’historique de la navigation sur Internet, aux centres d’intérêt, aux occupations et aux amis de l’utilisateur de l’iPhone. Ces informations peuvent être envoyées à l’insu du propriétaire du téléphone vers un centre distant.

Cette fonctionnalité peut être parfaitement dissimulée dans une application à l’air inoffensif.

Alors que par le passé les experts affirmaient que le principal groupe à risque était composé des personnes qui avaient débridé leur téléphone afin de pouvoir installer n’importe quelle application quelle que soit son origine, on évoque désormais la possibilité théorique d’attaques contre les utilisateurs téléchargeant des applications depuis l’Apple Store. Il y a déjà eu quelques cas d’applications légitimes qui recueillaient, à l’insu de l’utilisateur, des données et les transmettaient aux développeurs.

Tout ce qui précède concerne également Android, mais avec un élément supplémentaire important. En effet des programmes malveillants qui adoptent le mode de fonctionnement répandu des chevaux de Troie pour appareil nomade, à savoir l’envoi de SMS vers des numéros payant, ont été découverts pour cette plateforme. Il ne fait aucun doute que Trojan-SMS.AndroidOS.FakePlayer, découvert par notre société en septembre 2010, a été développé par des Russes et qu’il s’agit du premier cas réel de programme malveillant pour Android. Bien que le cheval de Troie n’ait pas été diffusé via Android Market, mais bien via des sites d’escroquerie, nous estimons que la probabilité de voir apparaître des programmes malveillants sur Android Market est très élevée. De plus, le nombre élevé d’applications légitimes qui, au moment de l’installation, demandent à l’utilisateur d’autoriser l’accès (et qui l’obtiennent) aux données privées, aux fonctions d’envoi de SMS et de réalisation d’appel, nous amène à réfléchir à la fiabilité de la sécurité sur Android dans son ensemble.

Voilà tout ce que l’on peut dire sur la vérification de nos prévisions pour 2010. Nous devons également évoquer une série d’incidents et de tendances qui ont fortement influencé le secteur de la sécurité des technologies de l’information.

Attaques ciblées contre des entreprises et des objets industriels

L’attaque baptisée « Aurora » a touché non seulement Google (la principale cible des auteurs de l’attaque), mais également d’autres grandes entreprises du monde entier. L’incident a mis en évidence de graves failles dans la sécurité ainsi que l’objectif potentiel des auteurs : cyberespionnage et vol de données commerciales confidentielles. Signalons qu’à l’avenir, les attaques ciblées poursuivront ces objectifs.

L’histoire du ver Stuxnet, que nous avons déjà évoqué, est intéressante non pas seulement en raison de la complexité du programme, mais surtout à cause de la cible de l’attaque, à savoir les automates programmables industriels (API) utilisés dans l’industrie. Il s’agit du premier cas de véritable cybersabotage dans le monde industriel capable de provoquer de sérieux dégâts. La frontière entre le monde virtuel et le monde réel a été effacée et nous sommes confrontés à de nouvelles tâches qu’il faudra résoudre à court terme.

Certificats numériques

Les signatures et les certificats numériques sont un des piliers sur lesquels repose la confiance vis-à-vis de divers objets dans le monde informatique. Bien entendu, la présence d’une signature dans un fichier tient un rôle important lors du développement de logiciels antivirus. Ainsi, les fichiers signés par des éditeurs de confiance sont considérés comme sains. Grâce à cette technologie, les développeurs de solutions antivirus peuvent réduire le nombre de faux positifs et en même temps, économiser les ressources lors de la recherche d’une éventuelle infection sur l’ordinateur d’un utilisateur.

Les événements qui se sont produit en 2010 ont démontré que l’individu malintentionné peut obtenir un certificat numérique de manière tout à fait légale, comme n’importe quel autre éditeur de logiciel. Ainsi, il peut prétendre développer une « application pour l’administration à distance d’un ordinateur sans interface utilisateur graphique » alors qu’il s’agit en réalité d’une porte dérobée. Les développeurs de logiciels publicitaires, de programmes potentiellement malveillants et de faux antivirus sont très friands de ce mode de protection contre la détection. Une fois qu’il a obtenu la clé indispensable du centre de certification, l’individu malintentionné peut signer n’importe lequel de ses programmes sans condition particulière.

Bref, l’idée même des certificats attribués aux applications a été sérieusement malmenée. Jusqu’au point où certains centres de certification (dont on compte plusieurs centaines) ont déjà été discrédités ou les cybercriminels possèderont leur propres centres de certification.

De plus, le certificat (et plus exactement la clé privée) est en fait un fichier qui peut être volé comme n’importe quel autre bien virtuel. Les composants détectés du ver Stuxnet étaient signés à l’aide de certificats de Realtek Semiconductors et de JMicron. Nous ne savons pas comment la clé privée s’est retrouvée entre les mains des individus malintentionnés, mais plusieurs scénarios sont possibles. Ils ont pu obtenir ces fichiers importants en les achetant à des complices au sein de ces sociétés ou ils les ont peut-être dérobés via une porte dérobée ou un programme malveillant similaire. Le vol de certificat, par exemple, figure désormais parmi les fonctionnalités du très répandu cheval de Troie Zbot (ZeuS).

Incidents et événements les plus marquants de l’année

Aurora

L’attaque « Opération Aurora » lancée au début 2010 a suscité l’intérêt des experts en sécurité informatique et de la presse. Comme nous l’avons dit ci-dessus, ces attaques ont ciblé de grandes entreprises, dont Google et Adobe. Les individus malintentionnés à l’origine de cette attaque cherchaient non seulement à obtenir les données confidentielles des utilisateurs, mais également les codes sources de toute une série de projets sur lesquels ces sociétés travaillaient.

Le principal vecteur de l’attaque fut un code d’exploitation de la vulnérabilité CVE-2010-0249 dans le navigateur Internet Explorer. À l’époque, la société Microsoft n’avait pas encore publié le correctif pour combler cette faille. On peut donc dire que « Aurora » est un autre exemple marquant de l’exploitation d’une vulnérabilité de type 0jour.

Chevaux de Troie escrocs

Au cours des six premiers mois de l’année 2010, les utilisateurs en Russie et dans plusieurs pays de l’ex-Union soviétique ont été confrontés à de multiples infections provoquées par diverses versions de SMS de blocage.

Il s’agit de programmes malveillants, diffusés à l’aide de plusieurs méthodes, notamment via les réseaux sociaux les plus utilisés dans l’Internet russophone, à l’aide d’attaques par téléchargement à la dérobée ou via des réseaux d’échange de fichiers. Une fois exécutés sur l’ordinateur de la victime, ces programmes bloquent le système d’exploitation ou l’accès à Internet. Pour résoudre le problème, l’utilisateur doit envoyer un SMS vers un numéro surfacturé afin d’obtenir le code de déblocage.

L’ampleur du problème et le nombre de victimes furent tellement importants que les autorités judiciaires ainsi que les médias russes se sont intéressés à cette histoire. Ce sujet a été abordé non seulement dans la blogosphère, mais également à la télévision. Les opérateurs de téléphonie mobile ont également participé à la lutte contre les escrocs : ils ont défini de nouvelles règles pour l’enregistrement et l’utilisation des numéros surfacturés. Ils ont également supprimé les comptes illicites et ont prévenu leurs clients des risques d’escroquerie par SMS.

À la fin du mois, un groupe de personnes, accusés de créer des programmes de blocage a été arrêté à Moscou. Selon les données du Ministère de l’Intérieur de la Fédération de Russie, ce groupe aurait gagné 500 millions de roubles de manière illégale.

Mais il est encore trop tôt pour crier victoire. Les individus malintentionnés se sont tournés vers d’autres méthodes pour amener les victimes à payer le déblocage (par exemple, transfert d’argent à l’aide de systèmes de paiement électronique ou via les bornes de paiement de services de téléphonie mobile).

De plus, vers la fin de l’année, nous avons recensé de nouveaux incidents impliquant des chevaux de Troie chiffreurs de la catégorie Gpcode. Ces chevaux de Troie chiffrent les données à l’aide d’algorithme RSA ou AES très robustes et requièrent également le versement d’une somme d’argent pour restaurer les informations.

Stuxnet

La découverte, au cours de l’été 2010, du ver Stuxnet aura été l’événement le plus marquant pour le secteur, et pas seulement pour cette année. L’analyse initiale du ver avait mis en évidence deux éléments significatifs qui justifiaient une analyse plus poussée.

Tout d’abord, les experts de la lutte contre les virus remarquèrent tout de suite l’utilisation d’une vulnérabilité 0jour dans le système d’exploitation Windows, à savoir le traitement incorrect des fichiers LNK (CVE-2010-2568). Cette vulnérabilité permet d’exécuter des fichiers malveillants depuis une clé USB. Cette vulnérabilité a suscité très vite l’intérêt d’autres individus mal intentionnés et dès le mois de juin, nous avons observé la diffusion d’autres programmes malveillants qui exploitaient cette vulnérabilité. Ainsi, nous avons détecté l’utilisation du code d’exploitation de cette vulnérabilité dans les diffuseurs de Sality et Zbot (ZeuS). Rien qu’au troisième trimestre, 6 % des utilisateurs de KSN ont été soumis à des attaques impliquant les codes d’exploitation de la vulnérabilité CVE-2010-2568.

La deuxième caractéristique identifiée était l’utilisation, dans le ver, des certificats numériques légitimes de la société Realtek. Nous avons déjà évoqué les problèmes liés aux certificats numériques d’actualité en 2010 dans la rubrique consacrée aux principaux bilans de l’année.

Il est intéressant de constater que quelques temps après, le composant malveillant Stuxnet, signé à l’aide d’un certificat de la société JMicron, fut découvert. Toutefois, le support original du fichier (dropper) qui aurait installé ce composant, n’a jamais été détecté. L’origine du composant en question est une zone d’ombre supplémentaire dans le mystère de Stuxnet.

L’analyse poussée du ver a permit de détecter trois autres codes d’exploitation de vulnérabilités de type 0jour dans Windows. La première d’entre elles permettait de diffuser le ver sur le réseau local et exploitait une faille dans le fonctionnement du service des imprimantes partagées. Cette vulnérabilité fut découverte par des experts de notre société et Microsoft diffusa le correctif adéquat en septembre 2010. Les deux autres vulnérabilités permettaient d’accroître les privilèges système du ver dans le système via le composant win32k.sys et à l’aide de Task Scheduler. Des experts de Kaspersky Lab ont contribué à la découverte de la première d’entre elles.

Mais l’exploitation de vulnérabilités n’était pas la propriété principale de Stuxnet (ce ver utilise cinq vulnérabilités et active une vulnérabilité dans l’application WinCC de Siemens, liée aux mots de passe d’accès par défaut). L’activité destructrice du ver vise les systèmes SIMATIC WinCC/PCS7 possédant une configuration particulière et qui possèdent (c’est le point le plus important !) un accès à des modèles spécifiques d’automates programmables industriels (PLC) et aux convertisseurs de fréquences de centrifugeuses de certaines marques. La bibliothèque dynamique installée par le ver intercepte une partie des fonctions du système et, par conséquent, peut influencer les opérations du système d’administration de l’objet industriel. Le ver cherche à modifier la logique de fonctionnement du dispositif de commande dans les convertisseurs de fréquence. Ces dispositifs permettent de commander la vitesse de rotation des moteurs. Ils sont utilisés sur des moteurs à régime très élevé et dont le domaine d’application est assez restreint, par exemple dans des centrifugeuses.

TDSS

Parmi les programmes malveillants « classiques » utilisés par les cybercriminels en 2010, la palme d’or revient à TDSS. L’utilisation de l’adjectif « classique » est rendue nécessaire par l’apparition de Stuxnet décrit ci-dessus qui, selon toute vraisemblance, est un tout nouveau phénomène sur la scène de la création de virus et qui ne peut être le fruit de l’activité de cybercriminels traditionnels.

Nous avons parlé à maintes reprises de la porte dérobée TDSS dans nos analyses publiées en 2009 et 2010. D’autres éditeurs de logiciels antivirus lui ont également accordé une certaine attention. La raison en est bien simple : TDSS est à l’heure actuelle le code malveillant le plus complexe d’un point de vue technologique, exception faite de Stuxnet. Non seulement TDSS exploite sans cesse de nouvelles méthodes pour se dissimuler dans un système et gérer un réseau de zombies et ses auteurs ne manquent jamais d’exploiter diverses vulnérabilités, qu’il s’agisse de vulnérabilité du type 0jour ou pour lesquelles un correctif existe déjà.

La principale nouveauté dans TDSS en 2010 fut sa disponibilité pour les systèmes 64 bits. Cette modification fut découverte au mois d’août et elle a reçu le numéro interne TDL-4. Afin de déjouer le système de protection de Windows, les auteurs de TDSS ont appliqué la technologie d’infection MBR qui évoque celle utilisée par un autre cheval de Troie, à savoir Sinowal. Si l’infection MBR réussit, le code malveillant s’exécute avant le lancement du système d’exploitation et peut modifier les paramètres de chargement de telle sorte que des pilotes non signés peuvent être enregistrés dans le système.

Le chargeur de l’outil de dissimulation d’activité, après avoir déterminé s’il s’agissait d’un système x86 ou x64, place le code du pilote dans la mémoire et l’enregistre dans le système. Ensuite, le système d’exploitation se charge avec le code malveillant déjà introduit. L’outil de dissimulation d’activité fonctionne de telle manière qu’il ne modifie pas le noyau protégé par la technologie PatchGuard intégrée au système d’exploitation.

La société Microsoft, à laquelle nos experts avaient signalé ce problème, n’a pas considéré cette « particularité » comme un élément critique et ne l’a pas classée en tant que vulnérabilité car pour pouvoir écrire dans le secteur de démarrage, le cheval de Troie doit déjà avoir des privilèges d’administrateur dans le système.

Pour obtenir ces privilèges, TDSS utilise diverses astuces et se perfectionne sans cesse. Au début du mois de décembre, nous avons détecté l’utilisation d’une autre vulnérabilité de type 0jour dans TDSS pour augmenter les privilèges. Cette vulnérabilité dans Task Scheduler fut utilisée pour la première fois dans Stuxnet et corrigée par Microsoft uniquement à la mi-décembre 2010.

Incidents multiples sur Twitter et Facebook

Les deux réseaux sociaux les plus utilisés et connaissant le développement le plus marqué de 2010 ont été victimes de nombreuses attaques. Ces attaques ont été liées non seulement au fait que les cybercriminels se sont tourné vers ces réseaux en tant que méthode supplémentaire de diffusion des programmes malveillants mais également à la découverte de vulnérabilités dans ces réseaux qui ont facilité la diffusion.

S’agissant des programmes malveillants, ce sont les nombreuses versions du ver Koobface qui ont affiché l’activité la plus marquée. Elles se sont attaquées principalement à Twitter dont les comptes compromis étaient utilisés pour diffuser des liens vers des chevaux de Troie. Les chiffres confirment l’efficacité de la méthode. Ainsi, au cours d’une attaque d’envergure modeste réalisée sur le réseau Twitter, plus de 2 000 visiteurs ont cliqué sur le lien diffusé.

Le réseau social Twitter a été le cadre d’une histoire révélatrice liée à l’iPhone au mois de mai. Le 19 mai, l’administration de Twitter a diffusé un communiqué officiel sur la distribution d’une nouvelle application « Twitter for iPhone ». Les individus malintentionnés ont décidé de profiter de la vague d’intérêt suscitée après l’annonce publique. Moins d’une heure après la publication, Twitter a été pris d’assaut par des messages reprenant l’expression « twitter iPhone application » avec un lien menant vers l’application malveillante Worm.Win32.VBNA.b.

De plus, certains auteurs de programmes malveillants ont utilisé Twitter pour créer, par exemple, de nouveaux noms de domaine de centres de commande de réseaux de zombies.

Les cybercriminels ont également utilisé plusieurs vulnérabilités XSS découvertes en 2010 dans Twitter. Les attaques réalisées au mois de septembre ont été particulièrement remarquables. Plusieurs vers XSS ont été introduites dans le réseau social et ont pu se propager sans l’intervention des utilisateurs. Il suffisait de lire le message infecté. Selon nos estimations, près d’un demi million de comptes Twitter ont été soumis à une attaque lors de cette épidémie.

Un nouveau type d’attaque s’est manifesté sur Facebook au mois de mai. Elle est liée à la nouvelle fonction « J’aime ». Comme son nom l’indique, cette fonction détermine la liste des choses qui ont plu à l’utilisateur du compte du réseau social. Des milliers d’utilisateurs ont été victimes d’une attaque baptisée « likejacking » (détournement de la fonction « J’aime ») par analogie avec « clickjacking ».

Des liens servant d’appât comme « Championnat du monde 2010 en haute résolution » ou « 101 femmes séduisantes du monde » sont diffusés sur Facebook. Le lien mène vers une page créée spécialement qui héberge un script (Javascript) chargé de placer le bouton « like » (j’aime) directement sous le pointeur de la souris. Le bouton suivait le curseur, si bien que quel que soit l’endroit où l’utilisateur cliquait, il allait cliquer sur ce bouton et ajouter automatiquement une copie du lien à son mur. Le fil d’actualité des amis de l’utilisateur indiquait que l’utilisateur aime ce lien. Ensuite, l’attaque progressait selon le principe de l’effet boule de neige : des amis cliquaient sur le lien, puis les amis des amis, etc. Une fois qu’il avait publié le lien sur son mur, l’utilisateur accédait à la page reprenant le contenu promis, par exemple, les photographies de modèles. L’attaque était bel et bien une escroquerie : un petit script Javascript était placé sur la page en question par une agence de publicité. Pour chaque visiteur de la page, les auteurs de l’attaque recevait une petite compensation financière.

Arrestation de cybercriminels et désactivation de réseaux de zombies

Au cours de 2008 et 2009, les interventions des structures de contrôle, des sociétés de téléphonie et des éditeurs de logiciels antivirus en matière de lutte contre les services d’hébergement criminel ont donné des résultats concrets. Les premiers succès furent remportés à la fin de l’année 2008 avec la fermeture de services tels que McColo, Atrivo et EstDomains. La lutte s’est poursuivie en 2009 et a permis de mettre un terme aux activités de UkrTeleGroup, RealHost et 3FN.

L’année 2010 aura été marquée par de nombreux succès dans la lutte des autorités judiciaires à travers le monde contre la cybercriminalité. Nous avons déjà évoqué l’arrestation de plusieurs auteurs de SMS de blocage en Russie et ceci n’est qu’une petite partie de la campagne menée à l’échelon international pour mettre les criminels face à leurs responsabilités.

Au début de l’année 2010, une partie des serveurs de commande d’un réseau de zombies créé à l’aide du programme malveillant Email-worm.Win32.Iksmas connu également sous le nom de Waledac fut mise hors ligne. Ce réseau de zombies était connu pour ses diffusions massives de messages non sollicités (jusqu’à 1,5 milliards de messages par jour), l’utilisation de sujets d’actualité dans les messages non sollicités avec des liens vers Iksmas, l’aspect polymorphe du bot côté serveur et le recours à la technologie fast-flux.

En été, la police espagnole arrêta les propriétaires d’un des plus importants réseaux de zombies, à savoir Mariposa. Ce réseau de zombies avait été créé à l’aide du ver P2P-worm.Win32.Palevo. Ce ver se diffuse via les réseaux P2P, les messageries instantanées et la fonction autorun, à savoir via n’importe quel périphérique amovible, depuis l’appareil photo jusqu’aux lecteurs Flash. La source de revenu principale de Palevo était liée à la vente et à l’exploitation des données personnelles des propriétaires des ordinateurs infectés : les données d’accès à différents services, principalement des services de transactions bancaires en ligne. Plus tard, c’est en Bosnie que quatre jeunes ont été arrêtés et accusés d’avoir créé le code malveillant du ver pour satisfaire une commande de leurs « clients » espagnols. Selon les estimations des experts, le réseau de zombies Mariposa aurait pu compter 12 millions d’ordinateurs, ce qui en ferait un des plus importants dans l’histoire d’Internet.

Un des auteurs de ce qu’on a appelé le « RBS hack » fut arrêté en Russie au printemps et jugé en septembre. L’histoire de ces criminels inconnus qui avaient volé plus de 9 millions de dollars américains depuis des centaines de distributeurs automatiques de billet à travers le monde fut largement abordée dans la presse. Malgré la gravité du crime et le montant de la somme volée, le tribunal de Saint-Pétersbourg a imposé une peine de 6 années de réclusion avec sursis. Un des autres auteurs de l’attaque a été arrêté en Estonie, puis extradé vers les États-Unis où son procès va avoir lieu. Et deux autres complices ont également été arrêtés : un en France et l’autre en Russie.

L’automne aura été marqué par une vague d’arrestations de criminels liés à l’utilisation du programme malveillant ZeuS. Vers la fin du mois de septembre, 20 ressortissants de Russie, d’Ukraine et d’autres pays d’Europe de l’Est ont été arrêtés aux États-Unis. Il s’agissait de « mules » chargées de blanchir l’argent volé à l’aide de ce cheval de Troie. À la même époque, un groupe d’individus a été arrêté en Grande-Bretagne pour une affaire similaire.

Peu de temps après ces événements, l’auteur présumé de ZeuS a publié sur plusieurs forums fréquentés par les cybercriminels russes qu’il «allait suspendre ses activités » et remettre les codes sources du cheval de Troie et de ses modules à un autre développeur.

Au milieu du mois d’octobre, un autre réseau de zombies, créé à l’aide du cheval de Troie Bredolab, a également été mis hors service. En fait, pour être exact, il convient de parler dans ce cas-ci non pas d’un seul réseau de zombies, mais de plusieurs réseaux administrés à l’aide de centaines de serveurs centraux. Ils ont tous été déconnectés d’Internet suite aux opérations menées par les services de lutte contre la cybercriminalité des polices hollandaise et française. Au moment de la mise hors service du réseau de zombies, son segment le plus important comptait plus de 150 000 ordinateurs infectés. Le propriétaire du réseau de zombies était un citoyen arménien. Il avait été mis sous surveillance pendant plusieurs mois et après la désactivation des serveurs, il a été arrêté à l’aéroport d’Erevan alors qu’il arrivait de Moscou. Les autorités supposent qu’il réalisait des affaires illicites avec d’autres cybercriminels en Russie. Selon certaines informations, il aurait mené une activité criminelle pendant près de dix ans et serait responsable de plusieurs attaques par déni de service distribué qui ont fait beaucoup de bruit ainsi que de diffusion de courrier indésirable. Parmi ses autres sources de revenus illégaux, citons la location ou la vente de parties du réseau de zombies à d’autres criminels.

Pronostics pour 2011

Cyberattaques en 2011 : tout voler

Pour mieux comprendre les événements qui nous attendent en 2011 en matière de menaces informatiques, il faut d’abord scinder les tendances éventuelles en plusieurs catégories. Il en existe trois : les cibles, les méthodes et les organisateurs.

Auparavant, nos prévisions se penchaient uniquement sur les méthodes, par exemple « attaques contre les plateformes pour appareils nomades », « vulnérabilités », etc. Cela s’expliquait par le fait qu’au cours des dernières années, la cybercriminalité était la seule source de menaces informatiques. Et son objectif était toujours le même : gagner de l’argent.

2011 devrait être marqué par une modification notable dans la composition des organisateurs de cyberattaques et dans leurs cibles. Ce changement sera comparable à la disparation des programmes malveillants développés juste pour le plaisir, par de petits voyous sans prétention désireux de s’affirmer, pour laisser la place à la cybercriminalité.

Méthodes

Il convient de signaler que les méthodes des cyberattaques ne dépendent pas des organisateurs ou des cibles. Elles reflètent les possibilités techniques offertes par les systèmes d’exploitation d’aujourd’hui, par Internet et ses services ainsi que par les périphériques numériques d’accès au réseau.

2010 fut l’année des vulnérabilités. En 2011, ce problème sera encore plus d’actualité. L’augmentation de l’exploitation par des cybercriminels d’erreurs dans des programmes légitimes sera liée non seulement à la découverte de nouvelles vulnérabilités dans les produits les plus utilisés (Windows, Office, logiciels d’Adobe et d’Apple), mais également à la réaction toujours plus rapide des individus malintentionnés suite à la découverte de telles vulnérabilités. Alors qu’il y a un an ou deux, l’utilisation de vulnérabilités 0jour était une exception, ces cas se sont multipliés en 2010. Cette tendance va se maintenir et les menaces 0jour vont être de plus en plus présentes. De plus, l’exploitation active ne touchera plus uniquement les vulnérabilités prisées des individus malintentionnés pour l’exécution de code à distance, mais également des vulnérabilités auxquelles on ne prête pas encore beaucoup attention et qui permettent d’augmenter les privilèges, de manipuler des données ou de contourner les mécanismes de défense du système.

Comme par le passé, les principales sources de revenu illégales seront liées au vol de données d’accès aux systèmes de transaction bancaire en ligne, à la diffusion de courrier indésirable, à l’organisation d’attaques par déni de service distribué et aux escroqueries. Ces objectifs seront atteints grâce aux mêmes méthodes qu’aujourd’hui, même si certaines seront renforcées au détriment d’autres.

Il ne fait non plus aucun doute que le nombre de menaces pour les plateformes 64 bits va augmenter. Dans le domaine des attaques contre les périphériques nomades et leurs systèmes d’exploitation, de nouvelles étapes vont être franchies et cela touchera avant tout Android. Le nombre d’attaques contre les utilisateurs de réseaux sociaux va également augmenter. La majorité de ces attaques exploiteront des vulnérabilités et elles seront menées via les navigateurs. Les attaques par déni de service distribué demeureront un des plus gros problèmes sur Internet.

Mais malheureusement tout ceci ne sera que l’arrière-plan d’un paysage qui va changer : nous allons voir émerger de nouveaux organisateurs et de nouvelles cibles pour les cyberattaques.

Nouveaux organisateurs et nouvelles cibles

Comme nous l’avons déjà dit ci-dessus, ces dernières années, nous avons été confronté à des programmes malveillants développés par des cybercriminels pour gagner de l’argent. Ceci étant dit, la création du ver Stuxnet qui a défrayé la chronique a signalé le franchissement d’une barrière morale et technologique. L’attaque menée par le ver à montrer au monde les possibilités époustouflantes des cyberarmes et l’immense complexité de la lutte contre ce type de menace. Il n’est pas exclu que des programmes semblables à Stuxnet intègrent l’arsenal de branches informatiques des services secrets et de sociétés commerciales. Ce sont ces structures qui vont prendre le rôle d’organisateur de cyberattaques et faire de la concurrence à la cybercriminalité.

Il va sans dire que ces organisations qui vont troubler la paix sur Internet seront moins prolifiques que les cybercriminels traditionnels en terme de nombre d’attaques et d’incidents impliquant des virus. Mais ces attaques seront plus destructrices et difficiles à identifier. Elles ne viseront pas l’utilisateur lambda. Il s’agira d’une guerre de l’ombre dont des épisodes apparaîtront sporadiquement dans la presse. La majorité des victimes ne connaîtra jamais le mode opératoire et l’identité des auteurs de ces attaques. Et il ne s’agit pas ici de cybersabotage comme pour Stuxnet. Non, le principal objectif de ces attaques sera l’information.

Il est possible que de telles attaques commencent à se matérialiser en 2011, mais elles seront communes dans les années à venir. Dès maintenant, il est clair que l’émergence supposée de nouveaux auteurs d’attaque va sérieusement compliquer la lutte contre les cybermenaces.

Spyware 2.0

Il y a quelques années, nous avions défini le concept Malware 2.0. L’heure est venue d’introduire un nouveau concept, à savoir Spyware 2.0.

Regardez les programmes malveillants modernes. En plus de la diffusion de courrier indésirable et de l’organisation d’attaques par déni de service distribué, leur principale tâche consiste à voler les données d’accès à tout type de service : banque, messagerie en ligne, réseau social, etc. Toutefois, ces informations ne sont pas les données les plus précieuses que possèdent les utilisateurs. Nous nous attendons en 2011 à l’apparition d’une nouvelle catégorie de logiciels espion dont la fonction pourrait être résumée en ces termes simples : « tout voler ». Ils s’intéresseront à l’utilisateur en lui-même (son emplacement, sa profession, ses loisirs, ses amis, sa situation, sa famille, la couleur de ses cheveux et de ses yeux, etc.). Ils s’intéresseront au moindre document et à la moindre photographie conservée sur l’ordinateur infecté.

Une telle moisson de données n’évoque-t-elle pas ce que les réseaux sociaux et les vendeurs de publicités sur Internet cherchent à connaître ? Ces informations sont nécessaires à tout le monde et le nombre d’acheteurs potentiels est très élevé. L’utilisation qui peut en être faite varie mais une chose est certaine, la demande pour de telles informations existent et elle va continuer à augmenter. Et cela signifie que les cybercriminels auront accès à une source de revenus complémentaire.

De plus, les nouveaux organisateurs de cyberattaques décrits ci-dessus emprunteront la voie de la création de « voleurs universels ». L’information est l’élément qui a le plus de valeur dans le monde moderne et celui qui possède l’information, possède tout. La sphère d’intérêt des commanditaires de ces attaques s’élargira.

De plus, les cybercriminels traditionnels seront de plus en plus impliqués dans un domaine qu’ils avaient évité jusqu’à présent, à savoir les attaques contre les sociétés. Alors que par le passé, les individus malintentionnés s’attaquaient exclusivement aux banques et aux systèmes de paiement en ligne en plus des utilisateurs lambda, ils possèdent désormais les connaissances techniques suffisantes pour se lancer sur le marché de l’espionnage industriel et du chantage.

Résumé des tendances attendues pour l’année 2011

  • De nouveaux acteurs vont faire leur entrée sur la scène de la création de programmes malveillants et de l’organisation d’attaques.
  • Outre le gain financier, l’objectif poursuivi par la création de programmes malveillants et l’organisation d’attaques sera le vol et l’exploitation de n’importe quel type d’informations.
  • L’information sera la cible principale des nouveaux organisateurs d’attaques et elle deviendra une source de revenus supplémentaire pour les cybercriminels traditionnels.
  • Nous allons être témoins de l’émergence d’une nouvelle catégorie de programmes malveillants, Spyware 2.0, qui visera le vol des données personnelles de l’utilisateur (vol d’identité) ainsi que le vol de n’importe quel type de données.
  • Spyware 2.0 deviendra l’outil non seulement des cybercriminels traditionnels, mais aussi des nouveaux organisateurs d’attaques.
  • Les cybercriminels traditionnels s’en prendront de plus en plus aux sociétés commerciales, abandonnant petit à petit les attaques directes contre l’utilisateur lambda.
  • Les vulnérabilités seront toujours la principale méthode d’attaque et le spectre de vulnérabilités et la vitesse à laquelle elles seront exploitées par les individus malintentionnés augmenteront.


Les informations contenues dans ce document constituent une représentation actuelle par Kaspersky Lab des problèmes décrits à la date de publication. Elles sont fournies à titre d’information uniquement. Les informations reprises dans le présent document, y compris les URL et autres liens vers des sites Web, peuvent changer sans préavis. Après la date de publication, Kaspersky Lab ZAO ne garantit plus l’exactitude des informations présentées. Ces informations ne doivent pas être interprétées comme une obligation ou une garantie quelconque de la part de Kaspersky Lab ZAO.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *