Archives par mot-clé : cyber-espionnage

Cyber-espionnage et ransomware en hausse

Le cyber-espionnage et les ransomwares sont en augmentation constante d’après le Data Breach Investigations Report 2017.

Le cyber-espionnage est désormais le type d’attaque le plus courant dont font l’objet l’industrie, le secteur public et même l’éducation, signale Verizon dans l’édition 2017 de son rapport Data Breach Investigations Report.  Ceci s’explique surtout par la prolifération des recherches de propriété intellectuelle, des prototypes et des données personnelles confidentielles, qui attirent tout particulièrement les cybercriminels. Sur près de 2 000 compromissions analysées cette année, le rapport compte 300 cas de cyber-espionnage (21%), dont beaucoup n’étaient à l’origine que des e-mails de phishing.

De plus, les organisations criminelles intensifient leur utilisation des ransomwares pour extorquer l’argent des victimes : le rapport fait état d’une augmentation de 50% des attaques de ransomwares par rapport à l’année précédente.  Malgré cette augmentation et la médiatisation autour de l’utilisation des ransomwares, de nombreuses entreprises utilisent toujours des solutions de sécurité qui ne sont plus au goût du jour et elles n’investissent pas suffisamment dans des précautions supplémentaires.  Elles honorent les demandes de rançon plutôt que d’investir dans des services de sécurité qui pourraient les protéger d’une cyberattaque.

« Les éclairages qu’apporte le rapport DBIR uniformisent les règles du jeu de la cybersécurité », déclare George Fischer, président de Verizon Enterprise Solutions. « Nous apportons aux états et aux entreprises l’information dont ils ont besoin pour se protéger contre les cyberattaques et mieux gérer le cyber-risque. En analysant les données de notre propre équipe dédiée à la sécurité et celles d’autres grands professionnels de la sécurité et institutionnels du monde entier, nous mettons à disposition de précieuses informations de veille pour aider à transformer le profil de risque d’une organisation. »

Le rapport DBIR de cette année, qui en est à sa 10ème édition, propose une analyse des actuelles problématiques de cybersécurité et des informations sectorielles afin de sensibiliser les entreprises et administrations pour qu’elles fassent de la sécurité leur priorité. Voici quelques-unes des conclusions du rapport :

•    L’importance croissante des malwares : 51% des cas de compromission de données analysés impliquaient des malwares. Le ransomware progresse à la cinquième place des malwares spécifiques les plus courants. Cette technologie d’extorsion de fonds aux victimes affiche une progression de 50% par rapport à l’édition précédente, et fait un énorme bond par rapport au rapport DBIR de 2014 où elle se classait à la 22ème place des types de malwares en circulation.

•    Le phishing a toujours du succès : Dans l’édition 2016 du rapport DBIR, Verizon signalait l’utilisation croissante des techniques de phishing liées à l’installation d’un logiciel sur le terminal d’un utilisateur. Cette année, le processus se retrouve dans 95% des attaques de phishing. Une technique de phishing est présente dans 43% des cas de compromission de données et la méthode sert autant pour le cyber-espionnage que pour les attaques à but lucratif.

•    Essor des tactiques de faux semblant (pretexting) : L’édition 2017 du rapport DBIR montre que la tactique en plein essor de pretexting cible de façon prédominante les salariés des services financiers, ceux qui détiennent les clés des procédures de transfert d’argent. L’e-mail est le premier vecteur de communication, utilisé dans 88% des cas de pretexting ayant un but lucratif, suivi en seconde position par les communications téléphoniques dans moins de 10% des cas.

•    Les petites entreprises sont aussi visées : 61% des victimes analysées étaient des entreprises de moins de 1 000 salariés.

Cyber-espionnage

« Les cyber-attaques ciblant le facteur humain sont toujours un gros problème », déclare Bryan Sartin, directeur exécutif de la branche Global Security Services de Verizon Enterprise Solutions. « Les cybercriminels se concentrent sur quatre éléments moteurs du comportement humain pour encourager les individus à révéler des informations : l’empressement, la distraction, la curiosité et l’incertitude. Et ça marche, puisque notre rapport fait étatd’une forte augmentation des cas de phishing et de pretexting cette année. »

Le rapport de cette année apporte des éclairages concernant certains secteurs spécifiques, et révèle les problématiques spécifiques de différents secteurs verticaux, en plus de répondre systématiquement aux questions « qui ? quoi ? pourquoi ? et comment ? ».
Voici quelques-unes des conclusions sectorielles :

•    Les trois secteurs d’industrie visés par les compromissions de données sont les services financiers (24%) ; la santé (15%) et le secteur public (12%).

•    Les entreprises du secteur de l’industrie sont les cibles les plus fréquentes des malwares adressés par e-mail.

•    68% des menaces visant le secteur de la santé sont perpétrées depuis l’intérieur de l’organisation.

« Les données du cybercrime varient beaucoup d’un secteur à un autre », commente Bryan Sartin. « Ce n’est qu’en comprenant les mécanismes fondamentaux de chaque secteur vertical que l’on peut apprécier les défis de cybersécurité de chacun et recommander des mesures appropriées. »

Sachant que dans 81% des cas de compromission, on retrouve des mots de passe volés et/ou peu sécurisés ou faciles à deviner, il demeure très important de poser des bases solides. Voici quelques recommandations à l’attention des entreprises et des individus :
1.    Restez vigilants : les fichiers journaux et les systèmes de gestion du changement peuvent être des indicateurs d’alerte précoce d’une compromission.
2.    Utilisez vos salariés comme première ligne de défense : formez-les pour qu’ils sachent détecter les signes d’alerte.
3.    Appliquez le principe de la nécessité absolue : seuls les salariés ayant besoin d’avoir accès aux systèmes pour travailler sont effectivement autorisés.
4.    Installez les correctifs dans les meilleurs délais : c’est le meilleur moyen de se protéger de très nombreuses attaques.
5.    Chiffrez les données sensibles : rendez vos données inexploitables en cas de vol.
6.    Utilisez la double authentification : vous limiterez l’ampleur des dégâts en cas d’identifiants perdus ou volés.
7.    Ne négligez pas la sécurité physique : tous les vols de données ne se produisent pas en ligne.

Equation Group : nouvelles tactiques de cyber espionnage

Les attaques de cyber espionnage commanditées par des Etats gagnent en complexité pour échapper au radar de systèmes de détection de plus en plus efficaces. Cette nouvelle tendance est confirmée par une analyse des spécialistes de Kaspersky Lab, centrée sur la plate-forme de cyber espionnage EquationDrug.

EquationDrug est la principale plate-forme d’espionnage développée par Equation Group et utilisée depuis plus d’une décennie, bien qu’à présent largement remplacée par GrayFish, une plate-forme encore plus sophistiquée. Les tendances tactiques confirmées par l’analyse d’EquationDrug ont été observées en premier par Kaspersky Lab au cours de ses recherches sur les campagnes de cyber espionnage Careto et Regin notamment.

Des techniques qui évoluent pour rester toujours plus indétectables
Les experts ont observé qu’après les succès croissants du secteur dans la mise au jour des groupes à l’origine des menaces persistantes avancées (APT), les plus élaborés d’entre eux s’attachent désormais à multiplier le nombre de composants de leur plate-forme malveillante afin d’en réduire la visibilité et d’en améliorer la discrétion. Les dernières plateformes comportent de nombreux modules qui leur permettent de sélectionner et de réaliser un large éventail de fonctions différentes, selon les victimes ciblées et les informations en leur possession. Selon les estimations de Kaspersky Lab, EquationDrug comprend 116 modules distincts.

« Les auteurs d’attaques commanditées par des Etats cherchent à créer des outils de cyber espionnage plus stables, invisibles, fiables et universels. Ils se concentrent sur le développement de frameworks permettant d’intégrer ces codes dans des éléments personnalisables sur des systèmes actifs et offrant un moyen sûr de stocker l’ensemble des composants et des données sous une forme cryptée, inaccessible au commun des utilisateurs », explique Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab. « La sophistication d’un tel framework distingue ce type de menace des cybercriminels traditionnels, qui préfèrent se focaliser sur les capacités du code malveillant, conçu dans l’optique de gains financiers directs. »

D’autres caractéristiques différencient les tactiques des auteurs d’attaques commanditées par des Etats, comparés aux cybercriminels classiques :

·         Echelle. Les cybercriminels traditionnels diffusent en masse des e-mails contenant des pièces jointes malveillantes ou infectent des sites Web à grande échelle, tandis que les acteurs étatiques privilégient des frappes chirurgicales extrêmement ciblées, n’infectant qu’une poignée d’utilisateurs spécifiques.

·         Personnalisation. Tandis que les cybercriminels classiques réutilisent généralement du code source disponible dans le domaine public, à l’exemple des chevaux de Troie de sinistre réputation Zeus ou Carberb, les acteurs étatiques confectionnent des malwares personnalisés, y intégrant même des restrictions qui empêchent leur décryptage et leur exécution en dehors de l’ordinateur ciblé.

·         Extraction d’informations sensibles. Les cybercriminels tentent en général d’infecter le plus grand nombre possible d’utilisateurs. Ils ne disposent cependant pas de suffisamment de temps ni d’espace de stockage pour examiner manuellement chacune des machines infectées et analyser l’identité de leur propriétaire, la nature des données qu’elle renferme et le type des logiciels qui y sont exécutés, puis transférer et conserver la totalité des informations potentiellement intéressantes.

o    En conséquence, ils codent des malwares de vol « tout en un » qui se bornent à n’extraire que les données les plus précieuses (mots de passe ou numéros de cartes de crédit, par exemple) sur les machines des victimes, une activité susceptible d’attirer rapidement sur eux l’attention de tout logiciel de sécurité installé.

o    Par contre, pour leur part, les auteurs des attaques étatiques, disposent de ressources suffisantes pour stocker autant de données qu’ils le souhaitent. Afin de passer inaperçus des logiciels de sécurité, ils évitent d’infecter des utilisateurs au hasard et font plutôt appel à un outil générique de gestion de systèmes à distance, capable de copier toutes les informations éventuellement nécessaires, quelle qu’en soit la quantité. Cela risque toutefois de jouer contre eux car le transfert de volumes massifs de données pourrait ralentir la connexion réseau et éveiller les soupçons.

« Il peut sembler inhabituel qu’une plate-forme de cyber espionnage aussi puissante qu’EquationDrug n’offre pas toutes les capacités de vol en standard au cœur de son code malveillant. L’explication tient au fait que ses concepteurs préfèrent personnaliser l’attaque pour chacune de leurs victimes. Ce n’est que s’ils ont décidé de vous surveiller activement et que les produits de sécurité sur vos machines ont été neutralisés que vous recevrez un module espionnant en direct vos conversations ou d’autres fonctions spécifiques liées à vos activités. Nous pensons que la modularité et la personnalisation vont devenir la marque distinctive des attaques étatiques à l’avenir », termine Costin Raiu.

The Mask : nouvelle campagnes de cyber-espionnage

L’équipe de recherche en sécurité de Kaspersky Lab a annoncé la découverte de « The Mask » (alias « Careto »), une menace avancée, en langue espagnole, incluse dans des opérations de cyber-espionnage actives depuis au moins 2007. La particularité de « The Mask » réside dans la complexité des outils employés par les auteurs des attaques. Il s’agit de malwares extrêmement élaborés, notamment un rootkit, un bootkit, des versions Mac OS X et Linux, voire des versions pour Android et iOS (iPad/iPhone). Les principales cibles sont des administrations, des représentations diplomatiques et des ambassades, des compagnies pétrolières, gazières et énergétiques, des laboratoires de recherche et des activistes. Les victimes de ces attaques ciblées se répartissent dans 31 pays à travers le monde, allant du Moyen-Orient à l’Europe, de l’Afrique au continent américain. La France, la Belgique, le Maroc, l’Algérie, la Tunisie font partis de la liste.

Les auteurs des attaques ont essentiellement pour objectif de collecter des données sensibles auprès des systèmes infectés : documents de travail mais aussi diverses clés de cryptage, configurations VPN, clés SSH (permettant d’identifier un utilisateur sur un serveur SSH) et fichiers RDP (utilisés par le logiciel Remote Desktop Client pour ouvrir automatiquement une connexion avec un ordinateur réservé).

« Plusieurs raisons nous amènent à penser que cette campagne pourrait être commanditée par certains Etats. Avant tout, nous avons observé un très haut degré de professionnalisme dans les procédures opérationnelles du groupe qui se cache derrière cette attaque, depuis la gestion des infrastructures, la clôture de l’opération, la dissimulation au moyen de règles d’accès et l’effacement du contenu des fichiers journaux au lieu de leur suppression. Tout cela contribue à rendre cette menace persistante avancée (APT) encore plus complexe que Duqu et à en faire l’une des menaces les plus évoluées du moment », commente à Data Security Breach Costin Raiu, directeur de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab. « Un tel niveau de sécurité opérationnelle n’est pas courant chez les groupes de cybercriminels. »

Les chercheurs ont pris pour la première fois conscience de l’existence de Careto, l’an passé, lorsqu’ils ont observé des tentatives d’exploitation d’une vulnérabilité qui avait été corrigée depuis cinq ans dans les produits de la société. Cette faille permettait au malware d’éviter toute détection. Ce constat a naturellement éveillé l’intérêt des chercheurs et déclenché leur enquête. Pour les victimes, une infection par Careto peut se révéler désastreuse, car celui-ci intercepte toutes les communications et recueille les informations les plus vitales sur les machines ciblées. Sa détection est extrêmement difficile en raison de ses capacités de rootkit furtif, de ses fonctionnalités intégrées et de ses modules additionnels de cyber-espionnage.

Les auteurs semblent avoir pour langue maternelle l’espagnol, ce qui est très rare dans le cas d’attaques APT. Cla ne prouve cependant pas qu’ils sont hispaniques. La campagne a été active pendant au moins cinq ans jusqu’à janvier 2014 (certains échantillons de Careto ont été compilés en 2007). Plus de 380 victimes uniques ont été répertoriées sur plus de 1000 adresses IP. Les pays suivants ont été infectés : Algérie, Argentine, Belgique, Bolivie, Brésil, Chine, Colombie, Costa Rica, Cuba, Egypte, France, Allemagne, Gibraltar, Guatemala, Iran, Iraq, Libye, Malaisie, Mexique, Maroc, Norvège, Pakistan, Pologne, Afrique du Sud, Espagne, Suisse, Tunisie, Turquie, Royaume-Uni, Etats-Unis et Venezuela. Cette opération de cyber-espionnage est atypique par la complexité et l’universalité des outils utilisés par les criminels. Ces outils incluent notamment des exploits haut-de-gamme, un bout malware extrêmement sophistiqué, un rootkit, un bootkit, des versions Mac OS X et Linux et potentiellement des versions pour Android et iPad/iPhone (iOS). The Mask a également utilisé une attaque spécialement conçue pour cibler les produits Kaspersky Lab.

Fonctionnalités & méthodes d’infection
Selon le rapport d’analyse, la campagne The Mask repose sur des emails de spear-phishing qui contiennent des liens vers un site web malicieux. Ce site web contient un certain nombre d’exploits conçus pour infecter les visiteurs, en fonction de la configuration du système. Lorsqu’un utilisateur a été infecté, le site web le redirige vers le site web bénin qui a été référencé dans l’email d’origine, qui peut être par exemple une vidéo Youtube ou un portail d’actualités. Il est important de noter que les sites web malicieux n’infectent pas automatiquement le visiteur. En effet, les cybercriminels hébergent leurs exploits sur le site dans des dossiers spécifiques qui ne sont pas directement référencés, excepté dans l’email d’origine. Parfois, les criminels utilisent des sous-domaines sur les sites web en question, pour accentuer le réalisme des sites web. Ces sous-domaines simulent l’existence de sous-sections des principaux journaux quotidiens espagnols et quelques journaux internationaux comme « The Guardian » ou « Washington Post ».

Le malware intercepte tous les canaux de communication et collecte les informations vitales du système infecté. Il est extrêmement difficile à détecter en raison d’un rootkit furtif. Careto est un système hautement modulaire, qui supporte des plugins et des dossiers de configuration. Cela lui permet d’exécuter de nombreuses fonctions. D’autre part, en plus des fonctionnalités intégrées, les opérateurs de Careto pourraient ajouter des modules complémentaires capables d’effectuer n’importe quelle attaque.