TrendLabs : les têtes chercheuses de Trend Micro prêtes pour passer à l'offensif

 

TrendLabs : les têtes chercheuses de Trend Micro prêtes pour passer à "l'offensif"

 

A l'occasion de la visite du laboratoire TrendLabs à Manille aux Philippines Trend Micro a confirmé son engagement dans des partenariats stratégiques en cybersécurité et son intérêt croissant pour ...la « sécurité offensive ».

 

Manille 12 juin 2015 : dans un environnement particulier de veille de fête nationale, avec 30 degrés à l'ombre, les jeep bus bigarrées se faufilent comme elles peuvent dans un trafic toujours dense. Peu de bruit, pas d'accrochage juste la patience, l'énergie et le courage des asiatiques au cœur de Manille, huitième métropole mondiale. Manille, capitale des Philippines est située stratégiquement. C'est un archipel de plus de 7000 îles à 800 kilomètresdu continent asiatique, entre Taïwan et Bornéo à proximité des côtes chinoises.

 

Hacking-Services-Prix-Intrenationaux-Cyberisques

                               Zéro day et autres "produits / services" un black market "marketé" (Source Trend Micro 2015)

 

Le labo principal du japonais Trend Micro, cinquième éditeur mondial, est situé au cœur du « business district » de Manille. Il entrouvre ses portes à la presse européenne. Suivie et encadrée en permanence par des gardes « body bodybuildés », la petite troupe de journalistes s'installe face a Myla V Pilao, Director Core Technology du Labo. Hospitalité légendaire des asiatique, sourires et échanges de « business card » tenues à deux mains. Introduction. La jeune femme décrit le choix des Philippines pour installer le TrendLabs par des raisons stratégiques. L'une de ces raisons tient au mode de vie des philippins. Selon elle, plus d'un million de philippins sur une population avoisinant les 100 millions travaillent a l'étranger. Cette spécificité favorise un flux financier important de transfert de fonds vers leurs familles avec tous les problèmes de cyber-securité qui accompagnent les opérations de transfert de fonds via Internet. Ce qui explique selon la manager le rang occupé par les Philippines en matière de cyber attaques. (8eme rang devant l'Italie en nombre de cyber attaques en 2014 selon Trend Micro)

 

CHEF-LABO-TRENDMICRO-CYBERISQUES-2015

Myla V Pilao, Directrice Core Technology du Labo

  

A Manille, le labo fonctionne avec 1200 ingénieurs et techniciens (sur 5300 collaborateurs Trend Micro au total) pour la plupart très jeunes avec une mixité proche de 40%. 55% sont des supports techniques repartis dans des services divers : recherche et détection de nouvelles cyber menaces, analyse et mise au point de nouvelles signatures, recherches ciblées et forensic. Ce sont prés de 5 millions de menaces qui seraient traitées chaque jour.

 

IMG 8648

 Des outils "sur mesure" en open source  (Photo JPB)

 

Les process sont toujours les mêmes : analyse des motivations des attaquants, recherche du code malveillant, behavior, niveau de classement en fonction de la complexité des codes analyses.... Au niveau des partenariats, des représentants de Trend Micro comme Loïc Guézo, technical evangelist pour Trend Micro Europe du Sud, rappelle volontiers les liens tissés entre l'éditeur et des organisations telles que Interpol, ITU, Cyber security nuclear…

Cette volonté affichée de travailler de concert avec des grandes institutions internationales constitue l'un des axes forts de la stratégie de Trend Micro. La proximité géographique de la Chine avec les Philippines constitue t-elle un autre signe fort de l'engagement de Trend Micro ?

Sans doute. Pour cet éditeur qui se revendique japonais et qui tient a afficher ses distances avec toutes formes d'influences (http://cyberisques.com/fr) l'indépendance reste un mot-clé. Pour Myla V Pilao Trend Micro est « un éditeur indépendant et travaille uniquement à un niveau technique. Lorsque nous travaillons sur des opérations d'attribution des cyber-attaques il s'agit purement d'opérations de « technical attributions ».

Comprenez : l'éditeur n'a aucune volonté d'attribuer des messages politiques lorsqu'il « attribue » autrement dit donne une signature à telle cyberattaque venue de tel ou tel pays. On touche là à une évolution intéressante de la cybercriminalité et du « forensic » (enquête) l'intrusion de la donne « politique » au sein des conséquences de l'usage des technologies (Lire l'encadré). La difficulté est bien réelle d'autant qu'au delà de la difficulté de la traçabilité des attaques existent aussi la mise en place d'organisations « cyber mercenaires » qui travaillent « sur commande » en toute discrétion. Interroger sur le même sujet, Loïc Guezo reconnaît « la difficulté d'isoler certaines cyber attaques de motivations politiques ».

 BODYGUARD-TRENDMICRO-CYBERISQUES-2015

 Sécurité virtuelle et matérielle... (Photo JPB)

 

Manille pour Trend Micro c'est aussi une main d’œuvre disponible et « avantageuse » avec des salaires allant de 400 a 650 euros selon l’expérience. Lors de la visite du labo un exercice de « démo » a été proposé aux journalistes. Au delà du cas d'école – infection par technique de spam via un mail du transporteur « DHL » contenant un malware dans un document PDF en pièce jointe. Celle-ci renvoyant sur un site « pirate » qui déclenche le chargement d'un code malicieux sophistiqué. Ce dernier « squattant» une partie de la machine infectée en établissant une zone pirate « zombie » véritable base de départ de nouvelles cyber-attaques. On voit clairement les niveaux d'infection (faux site, codes malicieux pour poste zombie, ouverture d'un botnet) mis en place par les attaquants. On constate aussi la transformation rapide d'une machine « neutre » en plate-forme compromise pour lancer des cyber-attaques. D'autres "configurations" existent avec notamment l'emploi par les cyber-attaquants d'outils de cyberespionnage tels que Eviltoss, Chopstick... Comment mesurer la dimension de l'attaque et ses conséquences ? C'est une des nombreuses évolutions en terme de risques que doit gérer chaque jour le TrendLabs pour l'ensemble des clients de Trend Micro.

Pour contrer ce type de cyber-menaces, les jeunes équipes du TrendLabs de Manille utilisent en environnement virtuel des outils de simulation sophistiqués. Certains sont “made in Manilla” en code Open source. D'autres sont plus connus tels Wireshark, Virus Expert.… rappelons que Wireshar sait examiner les données d'un réseau en direct et réaliser des captures des différents protocoles. L'application peut offrir une consultation des "directory" et exporter des objets au format SMB via le support de protocoles de type ADwin, Apache Etch, Wi-Fi P2P...

 

Crypto-ransomware-2015-Corporate

Forte progression des crypto-ransomware en entreprise (Source Trend Micro 2015)

 

 La « partie visitée » du labo de Trend Micro donne en apparence l'impression de savoir résoudre des problèmes de “masse” à un rythme “industriel” mais quid des interrogations laissées par des cyber-attaques de plus en plus sophistiquées via des APT et autres cyber-missiles (Stuxnet) par exemple ? Quid des statistiques sur les zéro day, patch, faux positifs, résultats d'investigations, cybersabotage, support de haut niveau de grands comptes, nature des partenariats, pression de certains pouvoirs et cyberespionnage… ? (Lire la section BONUS en fin d'article)

Top secret. Une visite de labo a toujours très vite de sérieuses limites. Idem pour les recherches en matière de cybersabotage (Systeme SCADA) alors qu'on sait que Trend Micro a participé début juin à l’International Conference on Computer Security in a Nuclear World: Expert Discussion and Exchange(Conférence Internationale sur la Sécurité Informatique dans le Monde Nucléaire, une conference pour échanger entre experts dont l'ANSSI organisée par l’Agence Internationale de l’Energie Atomique(AIEA).

C'est tout l'enjeu des défis du futur que les représentants de Trend Micro veulent appréhender. La Trend University forme et entraîne des profils internes et des clients et partenaires venus du monde entier. Parmi ces clients et partenaires, figurent les équipes d'Interpol et des échanges avec des équipes techniques de Facebook, SFR, BNP Paribas.... Selon Ryan Flores Forward-looking Threat research Senior Manager au TrendLabs trois grandes tendances inquiétent aujourd'hui les responsables du TrendLab de Manille. “Les cyber-attaques sur les publicités en ligne, les crypto ransomwares avec plus de 1,70% des cyber-menaces en 2014 rien qu'aux Philippines et 2% en France constituent également une réelle cyber menace pour nos clients tout comme la multiplication des attaques sur mobiles avec notamment en “cœur de cible” les applications “mobiles banking” et “financial”. Ryan précise une autre tendance; "Sur le darkNet, des services de hacking se font concurrence (cf Photo) et deviennent de plus en plus abordables ce qui démocratise et augmente le nombre de cybermenaces". 

 

 Ryan-TRENDMICRO-Cyberisques-2015

 Ryan Flores, en charge des opérations Forensic

 

Le département Forensic confié a Ryan Flores prend une importance stratégique. Dans ses équipes d'investigation 22 ingénieurs dont deux basés aux États-Unis sont dédiés aux systèmes industriels Scada interviennent sur des enquêtes d'une durée moyenne de trois mois. Leur mission est large: identifier des botnets, reconnaître de nouvelles “équipes” de cybercriminels, surveiller les activités “underground” sur le « dark net », apporter des éléments de preuve....

Cette approche Forensic pose également la question sur les limites de plus en plus floues entre sécurité défensive et sécurité offensive, autrement dit entre se protéger contre une attaque et répondre a une cyber-attaque. Lorsqu'on demande à Ryan Flores jusqu ou peut aller une démarche forensic, il répond de manière un peu évasive: “il nous faut comprendre une agression, les motivation comme le ROI d une attaque par exemple, sa médiatisation éventuelle, pourquoi et les raisons du choix de tel ou tel outils”. Faut il payer les rançons demandée lors des opérations de ransomwares ? “Ça dépend des types d'attaques. En général, seules les petites et moyennes entreprises payent les grandes savent se protéger y compris juridiquement et elles disposent de ressources humaines importantes. Elles sont aussi conseillées par la police”.

Des remarques qui prennent tout leur sens quand on sait que selon la dernière étude de RSA (filiale sécurité de EMC) publiée le 14 juin dernier sur le niveau de cybersécurité des organisations dans le monde, au niveau géographique, les entreprises de la région Asie-Pacifique sont les plus matures (39%), suivies par la zone EMEA (26%) et la zone Amériques (24%).

Jean Philippe Bichard

Voir le profil de Jean Philippe Bichard sur LinkedIn

 

 

(Fin version publique. Pour en savoir plus abonnez vous à Cyberisques NEWS)  

 

 JEEP-BUS

 

Sécurité offensive et Ethical Hacking : officiellement un débat...

Sécurité offensive : « C'est le sujet le plus discuté en 2015 » affirme Loïc Guézo chez Trend Micro. En France, la LPM (Loi de programmation militaire) légalise certaines pratiques propres a la cyberdéfense domaine réservé entre autres en France a la DGSE*. Ces pratiques étaient officieuses, elles sont désormais officielles. Va t-on s'acheminer vers la même « régulation » pour la sécurité offensive ? Reste que la sécurité offensive (répondre a une cyber attaque par une riposte proportionnée) constitue officiellement un acte illégal. Officiellement, les opérations les plus proches de la sécurité offensive sont celles réalisées lors de tentative d'attribution pour désigner un responsable à qui « attribué » une cyber attaque ; L'attribution concerne un individu ou un groupe voire un pays (comme pour la récente cyber-attaque de TV5 Monde début 2015 et son attribution selon une enqu^te de l'Express au groupe russe APT28 / lire la section BONUS).

Pour maîtriser l'offensif, certaines techniques sont indispensables (serious game) et des informations sont parfois «achetées» (Zéro day) par des services « officiels ». Bref il faut refaire à l'envers la cyber-attaque. Encore faut-il que l'attribution soit exacte. Pour s'en assurer, des OIC ou Indices de compromission (adresse IP, exécutables…) doivent exister "avec des garanties". Pour réaliser une attribution exacte, il faut contourner certains pièges (cyber-mercenaires travaillant pour le compte de telle ou telle organisation et identifier le commanditaire en plus de l'exécutant).

Selon Ryan Flores Forward-looking Threat research Senior Manager au TrendLabs et Myla V Pilao, Director Core Technology du Labo, les 1200 collaborateurs du laboratoire TrendLabs de Manille respectent les règles de l'Ethical Hacking en s'arrêtant à l'attribution « pure et dure ». Mais il est évident que tous les éditeurs en sécurité aujourd'hui se préparent à passer à l'offensive. Dans les annéees à venir, la demande sera énorme. Une simple question permet de comprendre rapidement la situation actuelle : qui utilise des RAT (Remote administration tool) dans un cadre légal ou autre...?

Récemment lors d'une opération nommée Aurora, un groupe de cyber-attaquants nommé Elderwood a exploité une vulnérabilité non patchée qui pouvait impacter Internet Explorer (CVE-2010-0249) désormais corrigée par le patch MS10-002 de Microsoft. L'exploitation de cette vulnérabilité pouvait permettre l'installation d'un RAT (nommé Hydraq). Ce RAT donnait aux cyber-attaquants un contrôle total sur le système infecté.

Jean Philippe Bichard

 * la DGSE d’aujourd’hui, comme le BCRA d’hier, est un service de renseignement intégré. Il réunit en un seul service les capacités nécessaires au recueil du renseignement (humain, technique et opérationnel), à son analyse, à sa diffusion, et à l’action clandestine (l’entrave). La DGSE est un service « civil », au sens où il est rattaché à l’autorité politique civile et distinct de tout état-major militaire.

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

BONUS :

http://www.trendmicro.fr/mobile/blogue/trendlabs/index.html

https://www.europol.europa.eu/content/page/forensics-1854

http://securitygladiators.com/2015/06/14/chinese-hackers-target-privacy-tools-vpn-tor/

 

http://www.databreaches.net/eviltoss-and-sourface-hacker-crew-likely-backed-by-kremlin-fireeye/ 

http://www.lexpress.fr/actualite/medias/piratage-de-tv5-monde-la-piste-russe_1687673.html

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires