Archives par mot-clé : spear-phishing

Chafer : un groupe de cyber attaquants basé en Iran

Un groupe de pirates informatiques, baptisé Chafer s’attaquerait aux entreprises du monde entier. Des amateurs du blackmarket qui officieraient d’Iran.

Chafer, un groupe de pirates informatiques qu’il est possible de croiser, sans grande difficulté, sur plusieurs forums Iraniens dédiés au piratage informatique. L’éditeur de solutions de sécurité informatique américain Symantec a publié une analyse sur leurs activités. Chafer est actif depuis au moins juillet 2014. La plupart des attaques du groupe visent à collecter des informations, à la revendre, à infiltrer pour encore mieux collecter. L’analyse explique que neuf nouvelles organisations ont été touchées au Moyen-Orient. Chafer a ciblé plusieurs organisations au Moyen-Orient (Israël, Jordanie, Emirats Arabes Unis, Arabie Saoudite et Turquie) y compris un important fournisseur de services télécoms dans la région.

En dehors du Moyen-Orient, des preuves d’attaques contre une compagnie aérienne africaine et des tentatives de cyber attaque envers une entreprise internationale dans le secteur du voyage. Une nouvelle méthode d’infection est utilisée par Chafer. Nouvelle méthode, mais qui n’a rien de révolutionnaire. Ils utilisent des documents Excel malveillants diffusés par le biais de mails ciblés (spear phishing).

Le courriel proposant le document Excel piégé permet d’installer un cheval de Troie destiné à dérober des informations et un outil qui pratique des captures d’écrans. Les activités récentes de Chafer indiquent une plus grande dépendance aux nouveaux outils logiciels gratuits, notamment Remcom, un NSSM, un outil de capture d’écran et de presse-papiers, des outils HTTP, GNU HTTPTunnel, UltraVNC et NBTScan . Chafer se dirige vers des attaques ciblant la supply chain, compromettant les organisations au travers de canaux de confiance dans le but d’attaquer ensuite leurs clients.

Le phishing, en tête de pont

Selon un nouveau rapport publié par F-Secure, plus d’un tiers des incidents de cyber sécurité viennent de phishing. Ce nouveau rapport présente les conclusions des enquêtes sur les interventions menées suite à un cyber incident et offre un aperçu des véritables modes opératoires des pirates informatiques.

21 % des cyber incidents analysés par F-Secure dans ce rapport font suite à des attaques ciblant les services web utilisés par les entreprises. Il s’agit du mode d’attaque le plus fréquemment utilisé par les pirates mettre la main sur les données d’une organisation. Toutefois, le phishing et les pièces jointes malveillantes totalisaient, ensemble, environ 34 % des attaques. Pour Tom Van de Wiele, Principal Security Consultant chez F-Secure, les attaques par e-mail constituent donc le plus gros danger pour les organisations. «L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes mais les intrusions informatiques via e-mail sont bien plus fréquentes. Les pirates disposent de tout un éventail d’attaques par e-mail. Elles remportent un franc succès, puisque la plupart des entreprises utilisent les e-mails pour leurs communications », explique Tom Van de Wiele. « Il convient de toujours réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien… mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique. »

Partage de fichiers et phishing

Le partage de fichiers devient le service le plus ciblé par le phishing. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers.

Le phishing via les services de partage de fichiers a explosé au cours des trois derniers mois, classant ainsi les services Cloud de distribution de fichiers en tête de liste des secteurs les plus ciblés par des actions malveillantes, selon une étude de Bitdefender.

À l’échelle mondiale, le partage de fichiers est davantage utilisé pour propager les arnaques de phishing que les achats en ligne et les services de paiement, qui sont les couvertures traditionnellement favorisées par les hackers. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers pour infecter les utilisateurs avec des malwares, comme le montrent ces dernières données Bitdefender.

Le manque d’innovation de cette technique est compensé par sa facilité d’utilisation et la popularité des services de partage de fichiers entre particuliers. L’an dernier, Dropbox a atteint la barre des 400 millions d’utilisateurs ayant stocké 35 milliards de fichiers Microsoft Office, tandis que Google Drive en hébergeait 190 millions en 2014.

Il est également important de noter que les services de partage de fichiers et de stockage dans le Cloud ne disposent pas des fonctions de sécurité pour filtrer les contenus illicites. Les pirates profitent de cette lacune pour dissimuler leurs fichiers infectés par des malwares, sans laisser de trace.

Par exemple, Dropbox n’examine pas les fichiers détenus dans les dossiers privés des utilisateurs. Cependant, ce service a réussi à mettre en place un système basé sur le hachage qui reconnaît le contenu protégé par des droits d’auteur. Cela permet de générer automatiquement une empreinte pour les fichiers stockés. Celle-ci est ensuite comparée avec une liste des empreintes de fichiers protégés par un copyright et les contenus sont bloqués uniquement si les utilisateurs essaient de les partager avec des contacts externes. Sans grande surprise, Dropbox se place au 4e rang des marques les plus usurpées, après PayPal, Apple et Google.

Une attaque typique suit globalement ce procédé : l’utilisateur reçoit un e-mail en apparence authentique, l’invitant à cliquer sur un lien intégré afin d’afficher un document en pièce jointe. Ce lien redirige l’utilisateur vers une page de phishing hébergée sur le nom de domaine du fournisseur. La page en question demande les informations d’identification de l’utilisateur, puis les capture pour envoyer ces données aux cybercriminels via un SSL. Si les certificats SSL s’assurent que les données sur un site Web sont présentées de manière sécurisée, ils ne garantissent pas que le site lui-même soit sécurisé. C’est pourquoi les pirates en profitent : ils achètent des certificats SSL bon marché et les utilisent sur des sites de phishing pour se faire passer pour des sites légitimes.

En général, les cybercriminels ne se limitent pas à vouloir dérober uniquement de simples identifiants de service de stockage en ligne ; les URL malveillantes peuvent, par exemple, pousser les utilisateurs à télécharger des crypto-ransomwares à leur insu. Dans ce cas, les conséquences sont beaucoup plus graves car les nouvelles générations de ransomwares peuvent prendre le contrôle des fichiers stockés par ces services d’hébergement en ligne. La plupart des sites de phishing sont hébergés aux États-Unis.

« Le phishing reste un vecteur d’attaque très efficace, responsable d’une part de plus en plus élevée d’incidents provoquant des fuites de données, touchant aussi bien les particuliers que les entreprises », déclare Bogdan Botezatu, Analyste Senior chez Bitdefender. Le phishing est une technique encore très efficace et dont la proportion connaît des niveaux sans précédent comme l’a récemment souligné l’IRS (Internal Revenue Service) aux États-Unis avec une augmentation de +400% d’e-mails et de messages faussement légitimes, envoyés en 2015.

Si un employé est victime d’un e-mail de phishing, il peut compromettre à son insu l’ensemble du réseau de l’entreprise, y compris les comptes bancaires, mots de passe du système informatique et identifiants professionnels. Le spear-phishing (phishing personnalisé visant un utilisateur) est efficace parce qu’il est crédible. C’est pourquoi il est conseillé aux utilisateurs d’éviter de trop partager leurs données personnelles sur les plates-formes publiques et de ne pas ouvrir de liens et de fichiers provenant de sources inconnues.

Pirate Versus Pirate

Un groupe de pirates s’attaque à un concurrent. De cette confrontation sont apparues les guerres des menaces persistantes avancées (APT).

L’éditeur de solution de sécurité informatique Kaspersky Lab a observé un cas qu’ils considèrent rare et inhabituel, une attaque perpétrée par un cybercriminel contre un autre. Ils ne doivent pas trainer souvent dans certains chans IRC, forums ou Twitter. Les pirates aiment se taper dessus. Le cas révélé par la société Russe a débuté en 2014. Hellsing, un petit groupe de cyber espions, assez  « anodin » sur le plan technique et ciblant principalement des organismes gouvernementaux et diplomatiques en Asie, a fait l’objet d’une attaque de spear-phishing. Cette attaque a été lancée par un autre groupe de cybercriminels et Hellsing a décidé de répliquer. Kaspersky Lab pense que cela pourrait marquer le début d’une nouvelle tendance dans le monde de la cybercriminalité : les guerres des APT (menaces persistantes avancées).

La découverte a été faite pendant leurs recherches sur les activités de Naikon, un groupe de cyber espionnage visant des cibles dans la zone Asie-Pacifique. Les experts ont remarqué que l’une des cibles de Naikon avait repéré la tentative d’infection de ses systèmes par un e-mail de spear-phishing comportant une pièce jointe malveillante. Le destinataire a vérifié l’authenticité de l’e-mail auprès de l’expéditeur et, apparemment non satisfait de la réponse, n’a pas ouvert la pièce jointe. Peu après, il a renvoyé à l’expéditeur un message contenant un malware de son cru.

Le mode de contre-attaque indique que Hellsing voulait identifier le groupe Naikon et recueillir des informations à son sujet. Une analyse approfondie de la menace Hellsing révèle une succession de mails de spear-phishing accompagnés de fichiers malveillants conçus pour propager un spyware entre les différents destinataires. Si l’un d’entre eux ouvre la pièce jointe malveillante, son système est infecté par un backdoor spécifique, capable de télécharger des fichiers, de se mettre à jour et de se désinstaller. Hellsing compterait près d’une vingtaine de victimes.

Les cibles de Hellsing
Le malware Hellsing a été bloqué en Malaisie, aux Philippines, en Inde, en Indonésie et aux Etats-Unis, les victimes étant les plus nombreuses dans les deux premiers pays. Les auteurs des attaques sont par ailleurs très sélectifs dans le choix de leurs cibles, tentant d’infecter principalement des organismes gouvernementaux et diplomatiques. « Le fait que le groupe Naikon ait été pris pour cible par Hellsing en représailles est pour le moins fascinant. Par le passé, nous avons assisté à des frappes accidentelles entre groupes APT, résultant du vol du carnet d’adresses des victimes puis d’un envoi massif à tous les destinataires répertoriés. Cependant, compte tenu du caractère ciblé et de l’origine de l’attaque, il paraît plus probable qu’il s’agisse d’un cas d’attaque délibérée entre APT », commente Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab. Hellsing serait actif depuis au moins 2012 et demeure d’actualité.

Pour se protéger contre les attaques Hellsing, mais aussi par toutes les autres possibilités malveillantes débarquant par mail, DataSecurityBreach.fr vous conseille de ne pas ouvrir les pièces jointes suspectes provenant d’expéditeurs inconnus. De prendre garde aux archives protégées de mot de passe et contenant des fichiers SCR ou d’autres exécutables. En cas de doute sur une pièce jointe, essayer de l’ouvrir dans une zone de quarantaine. Veiller à disposer d’un système d’exploitation récent et à y installer tous les correctifs de sécurité. Mettre à jour toutes les applications telles que Microsoft Office, Java, Adobe Flash Player et Adobe Reader.