Kaspersky Security Bulletin 2014. Prévisions pour les APT

  1. Prévisions 2015
  2. Principales statistiques pour 2014
  3. Evolution des malwares
  4. Prévisions pour les APT

Au cours de ces dernières années, l’équipe GReAT (équipe internationale de recherche et d’analyse) de Kaspersky Lab a permis de mieux comprendre quelques-unes des plus grandes campagnes de menaces avancées persistantes (APT) telles que RedOctober, Flame, NetTraveler, Miniduke, Epic Turla, Careto/Mask et d’autres. Dans le cadre de l’analyse de ces campagnes, nous avons également identifié un certain nombre de codes d’exploitation 0jour, dont CVE-2014-0546 tout récemment. Nous avons été parmi les premiers à évoquer les tendances émergentes dans le milieu des campagnes APT comme les cybermercenaires engagés pour organiser des attaques éclair ou les attaques organisées via des vecteurs inhabituels tels que le réseau Wi-Fi d’un hôtel. L’équipe GReAT de Kaspersky Lab a surveillé au cours des dernières années plus de 60 auteurs de cybermenaces à travers le monde. Ces organisations semblent maîtriser le russe, le chinois, l’allemand, l’espagnol, l’arabe, le perse et d’autres langues.

L’observation minutieuse de ces auteurs nous a permis de dresser une liste de ce qui semble constituer les tendances émergentes dans le milieu des campagnes APT. Nous estimons que ces menaces vont occuper une place importante en 2015 et qu’elles méritent notre attention, aussi bien au niveau de la collecte de renseignements que des technologies qu’il faudra développer pour les arrêter.

Convergence de la cybercriminalité et des menaces avancées persistantes

Pendant longtemps, l’unique préoccupation des cybercriminels a été de voler l’argent des utilisateurs. Suite à l’explosion du nombre de vols de carte de crédit, de détournements de compte de système de paiement électronique ou de compte de banque électroniques, les consommateurs ont perdu des centaines de millions de dollars. Ces activités ont-elles cessé d’être rentables ? Le marché de la cybercriminalité est-il saturé ? Le fait est que nous observons actuellement une lutte pour la "survie". Et comme toujours dans ce genre de situation, la lutte entraîne une évolution.

A quoi faut-il s’attendre ? Au cours d’un incident que nous avons étudié récemment, les attaquants avaient compromis l’ordinateur d’un comptable afin de réaliser un virement important vers leur banque. Rien de nouveau sous le soleil allez-vous dire, mais nous avons décelé une tendance plus intéressante : Attaques ciblées directement contre les banques et non contre leurs clients.

Plusieurs enquêtes menées par des experts du GReAT de Kaspersky Lab ont porté sur des banques qui avaient été attaquées à l’aide de méthodes tirées directement du manuel des APT. Une fois à l’intérieur du réseau des banques, les attaquants récoltaient toutes les informations nécessaires pour pouvoir voler de l’argent directement à la banque en utilisant une des méthodes suivantes :

  • Commande à distance de distributeurs automatiques de billets pour retirer de l’argent.
  • Réalisation de transferts SWIFT au départ des comptes de client.
  • Manipulation des systèmes de banque électronique pour la réalisation de transactions en arrière-plan.

Ces attaques annoncent une nouvelle tendance où les cybercriminels adoptent les attaques de style APT. Comme toujours, les cybercriminels privilégient la simplicité : ils s’en prennent désormais directement aux banques car c’est là que se trouve l’argent.š Nous estimons que cette tendance vaut la peine d’être signalée et qu’elle va s’affirmer en 2015.

Fragmentation des plus grands groupes APT

Au cours de l’année 2014, plusieurs sources ont exposé des groupes APT au grand public. Le cas le plus connu est peut-être l’inculpation par le FBI de cinq pirates ayant commis divers délits informatiques :

Cette "exposition des coupables" signifie qu’il faut s’attendre à ce que les groupes APT plus importants et plus "bruyants" se désintègrent en unités plus petites et indépendantes.

A quoi faut-il s’attendre ? Cela va donner un plus grand nombre de sources d’attaques, ce qui se traduira par un plus grand nombre de sociétés victimes car les groupes plus petits diversifieront leurs attaques. Parallèlement à cela, les grandes sociétés qui, jusqu’ici, étaient attaquées par deux ou trois grands groupes APT (par exemple, Comments Crew et Wekby) seront exposées à des attaques plus diversifiées issues d’un plus grand éventail de sources.

Evolution des techniques de malwares

Alors que les ordinateurs deviennent plus sophistiqués et plus puissants, les systèmes d’exploitation deviennent également plus complexes. Apple et Microsoft ont consacré beaucoup de temps à l’amélioration de la sécurité de leurs systèmes d’exploitation respectifs. De plus, il existe désormais des outils spéciaux tels qu’EMET de Microsoft qui permettent de déjouer les attaques ciblées contre les vulnérabilités de logiciel.

Nous pensons que le renforcement de la popularité de Windows x64 et d’Apple Yosemite va amener les groupes qui créent des APT à mettre à jour leurs outils et à se doter de backdoors plus puissantes et de technologies pour échapper aux solutions de sécurité.

A quoi faut-il s’attendre ? Nous observons déjà des groupes APT qui utilisent à chaque fois des malwares pour des systèmes 64 bits, y compris des rootkits 64 bits. En 2015, il faudra s’attendre à des malwares plus sophistiqués, des techniques améliorées d’évasion et à une utilisation plus répandue des systèmes de fichiers virtuels (comme ceux de Turla et Regin) afin de dissimuler les précieux outils et les données volées.

L’utilisation plus fréquente de techniques sophistiquées ne doit pas nous faire oublier que certains attaquants ont choisi la voie opposée. Ils réduisent le nombre de codes d’exploitation et le volume de code compilé qu’ils introduisent dans un réseau. Ceci étant dit, leur travail requiert toujours l’introduction d’un code ou d’un code d’exploitation sophistiqué à un point d’entrée stable dans l’entreprise, des outils de programmation de script, l’augmentation des privilèges et les informations d’identification volées dans les organisations victime.

Comme nous l’avons vu dans le cas de BlackEnergy 2 (BE2), les attaquants protègeront avec acharnement leur présence et leur identité dans les réseaux des victimes une fois qu’ils auront été détectés. Leurs techniques de persistance deviennent plus complexes et plus étendues. Ces mêmes groupes vont augmenter la quantité et le niveau d’agressivité des composants destructeurs de dernier effort qui servent à dissimuler les traces. Ces composants auront une plus grande compatibilité avec *nix, des équipements de mise en réseau et une prise en charge intégrée du système d’exploitation. Nous avons déjà observé une certaine expansion des acteurs BE2, Yeti et Winnti.

Nouvelles méthodes d’extraction des données

L’époque où les attaquants se contentaient d’activer une backdoor dans le réseau d’une entreprise pour commencer à charger des teraoctets de données vers des serveurs FTP répartis à travers le monde est révolue. De nos jours, les groupes plus avancés utilisent régulièrement le protocole SSL avec des protocoles de communication personnalisés.

Certains de ces groupes transforment des périphériques réseau en backdoor et interceptent directement le trafic pour les commandes. Parmi les autres techniques d’extraction des données que nous avons observées, citons l’envoi des données vers des services dans le Cloud, par exemple via le protocole WebDAV (qui simplifie la coopération entre les utilisateurs pour l’édition et la gestion de documents et de fichiers stockés sur des serveurs Web).

Cette tendance a amené de nombreuses entreprises à interdire l’utilisation de services de Cloud publics comme Dropbox. Cette technique demeure toutefois efficace pour déjouer les systèmes de détection d’intrusion et les listes noires DNS.

A quoi faut-il s’attendre ? Le nombre de groupes qui va utiliser les services dans le Cloud pour rendre l’extraction de données plus furtives et plus discrète va augmenter en 2015.

Nouvelles APT en provenance d’endroits inhabituels alors que de nouveaux pays se lancent dans la course au cyberarmement

Nous avons publié en février 2014 les résultats de nos recherches sur Careto/Mask, un fruit d’un auteur de cybermenace très sophistiqué qui semble maîtriser l’espagnol, langue rarement utilisée dans des attaques ciblées. Ce rapport fut suivi au mois d’août par un rapport sur Machete, un autre auteur cybermenace qui utilise l’espagnol.

Jusqu’à présent, les auteurs et les opérateurs de menaces persistantes avancées nous ont habitué à l’utilisation d’un nombre réduit de langues. De plus, de nombreux professionnels ne s’expriment pas dans leur langue maternelle, mais préfèrent écrire dans un anglais parfait.

Nous avons observé en 2014 de nombreuses nations qui ont manifesté leur intérêt dans le développement de capacités APT :

A quoi faut-il s’attendre ? S’il est vrai que nous n’avons pas encore vu d’attaques APT en suédois, nous prévoyons une augmentation du nombre de pays qui vont se lancer dans la course au cyberarmement et développer des capacités de cyberespionnage.

Utilisation de faux drapeaux dans les attaques

Les attaquants commettent des erreurs. Dans la majorité des cas que nous analysons, nous trouvons des éléments qui nous fournissent des indications sur la langue des attaquants. Par exemple, dans les cas de RedOctober et d’Epic Turla, nous sommes parvenus à la conclusion que les attaquants étaient probablement russophones. S’agissant de NetTraveler, nous pensons que les attaquants parlent chinois.

Dans certains cas, les experts recherchent d’autres métadonnées qui pourraient les orienter vers les attaquants. Ainsi, l’analyse de l’horodatage des fichiers utilisés dans une attaque peut indiquer la région où la majorité des échantillons a été compilée.

Ceci étant dit, les attaquants ont commencé à réagir à cette situation. Au cours de l’année 2014, nous avons observé plusieurs opérations menées sous "de faux drapeaux". Dans le cadre de celles-ci, les opérateurs ont remis un malware "inactif" utilisé généralement par d’autres groupes APT. Imaginez un acteur de menace d’origine européenne qui utilise un malware utilisé généralement par un "Comment Crew", qui est un auteur de cybermenace chinois connu. Alors que tout le monde connaît les implantations de malware de "Comment Crew", peu de victimes sont en mesure d’analyser les nouvelles implantations sophistiquées. Le public peut alors être facilement amené à croire que la victime a été touchée par un acteur de menace chinois.

A quoi faut-il s’attendre ? Alors que les gouvernements vont chercher de plus en plus souvent à "exposer les coupables", il faut s’attendre en 2015 à ce que les groupes APT adaptent soigneusement leurs opérations et commencent à utiliser de "faux drapeaux".

Ajout des attaques mobiles à l’arsenal des auteurs de cybermenaces

Bien que certains groupes APT sont connus pour avoir infecté des téléphones portables, cette tendance ne s’est pas encore généralisée. Il se peut que les attaquants veulent accéder à des données qui ne sont généralement pas disponibles sur des téléphones portables ou que certains d’entre eux ne possèdent pas les technologies capables d’infecter des appareils Android et iOS.

Nous avons observé en 2014 de nombreux nouveaux outils APT développés pour infecter des appareils mobiles, par exemple les modules pour mobiles du Remote Control System de Hacking Team.

De plus, lors des manifestations organisées à Hong Kong en octobre 2014, des attaques qui semblent être associées à des opérations APT ont été menées contre des utilisateurs d’appareils iOS et Android.

S’il est vrai qu’un téléphone portable ne contient pas nécessairement des documents ou des schémas de valeurs ou les plans d’une expansion géographique pour les 10 prochaines années, il n’en demeure pas moins une source de contacts appréciable et peut faire office de poste d’écoute. Nous avons observé ce phénomène avec le groupe RedOctober qui était capable d’infecter des téléphones mobiles et de les transformer en "mouchard".

A quoi faut-il s’attendre ? Nous nous attendons à une augmentation du volume de malwares adaptés aux appareils nomades en 2015, principalement pour les appareils Android ou iOS jailbreakés.

APT+réseau de zombies : attaque précise et surveillance en masse

Généralement, les groupes APT évitent de faire trop de bruit dans le cadre de leurs activités. C’est la raison pour laquelle le malware utilisé dans des attaques APT est bien moins répandu que d’autres malwares à vocation criminelle comme Zeus, SpyEye et Cryptolocker.

En 2014, nous avons observé deux groupes APT (Animal Farm et Darkhotel) qui ont utilisé des réseaux de zombies en plus de leurs opérations ciblées régulières. Il est évident que les réseaux de zombies peuvent jouer un rôle critique dans la cyber-guerre et ils peuvent être utilisés dans le cadre de DDoS contre des pays hostiles ; cela s’est déjà produit par le passé.š On comprend dès lors pourquoi certains groupes APT pourraient souhaiter mettre en place des réseaux de zombies ne plus de leurs opérations ciblées.

Outre l’organisation d’attaques DDoS, les réseaux de zombies offrent un autre avantage : ils peuvent servir de système de surveillance de masse pour un "pays pauvre". Ainsi, Flame et Gauss, que nous avions découvert en 2012, avaient été développés pour fonctionner en tant qu’outil de surveillance de masse. Ils récoltaient automatiquement des informations de dizaines de milliers de victimes. Ces informations devraient être analysées par un superordinateur, indexées, regroupées par mots clés et par sujet. Il est probable que la vaste majorité de ces informations n’aurait aucun intérêt. Toutefois, parmi ces centaines de milliers de documents obtenus, il se pourrait qu’un fournisse des renseignements clés capables de faire la différence dans des situations critiques.

A quoi faut-il s’attendre ? En 2015, plus de groupes APT vont adopter la tendance qui consiste à utiliser des attaques précises à côté d’opérations plus bruyantes et mettre en place leurs propres réseaux de zombies.

Attaques contre les réseaux dans les hôtels

Le groupe Darkhotel est un des acteurs APT connus pour avoir ciblé des visiteurs spécifiques lors de leur séjour à l’hôtel dans certains pays. De fait, les hôtels constituent un excellent moyen de cibler des catégories spécifiques de personnes, comme les dirigeants de société. Cibler des hôtels rapporte également beaucoup d’argent car ce genre d’opération fournit des renseignements sur les mouvements d’individus de haut vol à travers le monde.

S’attaquer à un système de réservation de chambres d’hôtel est une méthode simple pour réaliser des travaux de reconnaissance sur une cible en particulier. L’attaquant peut ainsi obtenir le numéro de la chambre de la victime, ce qui ouvre la porte non seulement à des cyberattaques, mais également à des attaques physiques.

Mais s’attaquer à un hôtel n’est pas toujours simple. C’est pourquoi seule l’élite des opérateurs d’APT a réalisé ce genre d’opération par le passé et l’utilise dans le cadre de sa boîte à outils.

A quoi faut-il s’attendre ? En 2015, quelques autres groupes vont adopter ces techniques, mais elles resteront hors de portée de la vaste majorité des acteurs APT.

Commercialisation des APT et secteur privé

Au cours des dernières années, nous avons réalisé des recherches approfondies sur les malwares créés par des sociétés comme Hacking Team et Gamma International, deux des éditeurs de "logiciels espion légitimes" les plus connus. Bien que ces sociétés affirment qu’elles vendent leurs applications uniquement à des "entités gouvernementales de confiance", des rapports publics concoctés par différentes sources, dont Citizen Lab, ont prouvé à plusieurs reprises qu’il était impossible de contrôler la vente de logiciels espion. Il arrive un moment où ces logiciels dangereux tombent entre les mains d’individus ou de nations moins fiables qui vont les utiliser afin d’espionner d’autres pays ou leurs propres citoyens.

Le fait est que ces activités sont très rentables pour les sociétés qui développent ces logiciels de cyberespionnage. Le risque est également très faible. Nous n’avons jamais vu à ce jour aucun cas d’inculpation de ces sociétés pour cyberespionnage. Les développeurs de ces outils sont généralement hors d’atteinte car la responsabilité retombe sur l’utilisateur final et non pas sur la société qui développe et facilite l’espionnage.

A quoi faut-il s’attendre ? Cette activé où les revenus sont élevés et les risques faibles va attirer de nouveaux éditeurs de logiciels sur le marché des "outils de surveillance légaux". Ces outils seront ensuite utilisés dans le cadre d’opérations de cyberespionnage contre d’autres pays, de surveillance de la population, voire de sabotage.

Conclusions

L’année 2014 aura été sophistiquée et variée en matière d’incidents APT. Nous avons découvert plusieurs vulnérabilités de type 0jour comme CVE-2014-0515 qui a été exploitée par un groupe que nous avons baptisé "Animal Farm". Parmi nos autres découvertes de vulnérabilités de type 0jour, citons CVE-2014-0487, utilisée par le groupe connu sous le nom de DarkHotel. Outre ces vulnérabilités 0jour, nous avons identifié plusieurs nouvelles techniques pour la persistance et la furtivité, ce qui s’est traduit par le développement et le déploiement de plusieurs nouveaux mécanismes de défense pour nos utilisateurs.

Si l’année 2014 aura été celle de la sophistication, l’année 2015 sera placée sous le signe de la "discrétion". Nous croyons que de plus en plus de groupes APT se soucieront de l’exposition publique et adopteront des mesures plus poussées pour éviter la détection.

Certains d’entre eux organiseront des opérations avec de faux drapeaux. Nous nous attendons à ces développements et comme toujours, nous les documenterons en détails dans nos rapports.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *