Kaspersky Lab : les attaques ciblées (APT) décortiquées en 7 étapes

Kaspersky Lab : les attaques ciblées (APT) décortiquées en 7 étapes

Les attaques ciblées (APT) constituent aujourd'hui une menace réelle notamment comme le souligne Nicolas Brulez, chercheur chez Kaspersky Lab, celles qui touchent les milieu bancaire « les chevaux de Troie dédiés aux environnements financiers affichent une croissance inquiétante ».

A l'origine de la découverte du fameux « système d'attaques ciblées » Mask Careto, les chercheurs de Kaspersky Lab décortiquent les différentes attaques pour mieux les comprendre. Selon Nicolas Brulez, les APT partagent toutes 7 étapes cruciales pour atteindre leurs objectifs.

La première c'est la reconnaissance de l'environnement ciblé (services aéronautiques, environnements militaires, centrales nucléaires, ambassades...) avec la détection du type de serveurs, leur nombre, les services proposés... La deuxième étape c'est l'envoi d'un mail piégé pour « entrer » sur le réseau ciblé via une boite mail anonyme ou une boite mail déjà compromise. La troisième étape consiste à installer le backdoor proprement dit via un lien URL piégé proposer dans le corps du mail expédié. La quatrième étape cible l'obtention de droits supplémentaires auprès du système cible. Il s'agit par exemple d'obtenir plus de privilèges ce que l'on nomme l'escalade de privilèges, en usurpant des mots de passe d'administrateurs. La cinquième étape déclenche dans les codes du backdoor désormais installé sur le réseau les process liés à l'obtention d'informations sensibles via les privilèges obtenus. La sixième étape consiste pour les attaquants a s'assurer que leurs codes malveillants sont « bien installés » sur le réseau et ne se trouvent pas en situation de « vulnérabilité ». Enfin, la septième et dernière étape met en œuvre le module d'envoi des données sensibles récupérées ; Ces données sont alors expédiées vers des serveurs « amis » des attaquants.

Deux modes de récupération par ingénierie sociale sont couramment utilisés par les attaquants : le mode passif via linkedin et le mode plus actuel par Watering hote ou «Infection par site Web », autrement appelé «Drive-By Download». Cette méthode d'attaque s'effectue en trois étapes : Création ou compromission d’un site Web par l’attaquant (accès à l’interface d’administration, compromission des régies publicitaires pour injecter du code au sein des publicités affichées, découverte d’une vulnérabilité de type XSS…). Deuxième étape : Dépôt du malware sur le site (Ex : code JavaScript offusqué s’exécutant au chargement de la iframe contenant un ActiveX ou un applet Java malicieux hébergé sur un autre site, …). Dernière étape :

Compromission de la machine cliente, la cyber-victime est alors incitée à se rendre ou redirigée de manière automatique sur le site Web hébergeant le malware. Son navigateur exécute le code malicieux et un malware est installé à son insu sur son poste de travail ou son Smartphone, très souvent de manière transparente.

Il faut savoir souligne Nicolas Brulez, que sur Windows, indépendamment de la version, les mots de passe demeurent toujours visibles en mémoire. A l'aide d'un mot de passe d'un administrateur, un attaquant n'as plus aucun problème pour récupérer un statut de machine avec son niveau de connexion. Il peut alors se « promener » sur le réseau, demander de nouvelles connexions, modifier les statuts des routeurs et serveurs. Il sit aussi créer des chemins spécifiques pour obtenir des données qu'il stocke dans un fichier « archive » qu'il se crée avant d'expèdier le tout sur « ses » serveur après avoir pris soin d'effacer les traces de sa visite. Pour la petite histoire, les attaquants utilisent des outils spacifiques. En crypto, par exemple, l'outils le plus répandu se nomme Acid Crypto, une sorte de PGP « maison »

« En cas de découverte d'une nouvelle APT nous devons faire vite affirme Nicolas Brulez dans la mesure ou toute annonce de découverte d'un nouveau malware provoque chez ses auteurs un effacement systèmatique des données et une fermeture généralisée de tous leurs serveurs. »

Les APT sont non seulement ciblées mais elles reflètent des tendances. Ainsi, des attaques ciblées sur des jeux vidéos existent. Leurs auteurs sont des « experts » d'APT dédiées à cette cible. D'autres préfèrent les environnements financiers ou militaires. C'est la cas du groupe Netraveler, dont les traces (langues, heures des attaques et fuseau horaire, langue...) laissent supposer ou veulent laisser croire qu'ils viendraient de Chine. Se dissimuler derrière une autre langue est affaire courante chez les attaquants notamment dans le cas de cyber-espionnage. L'origine d'une attaque est toujours difficile. D'autant que la Chine constitue aussi une cible pour les APT. Le groupe de cyber-attaquants Icefog (cf liens ci-dessous) a infecté 350 MAC OS en Chine avec une stratégie atypique : usaage de leur propre code Java et pas de récupération immédiate d'infos mais la « mise en place » d'un backdoor au sein de certaines machines. Ce backdoor agit comme un « agent dormant » qui attend les ordres, en l'occurrence récupérer des fichiers HWP Hangul Word Processor (format d'un Word local en Corée).

La découverte par les chercheurs de Kaspersky Lab du Mask Careto est due a une tentative d'exploitation d'une « vieille » faille datant de cinq ans. Le résultat pour un exploit APT est à la hauteur des espoirs de cyber-attaquants : plus de 380 « cyber-victimes hyper ciblées » via un millier d'adresses IP dans 31 pays différents. Selon l'éditeur russe, il s'agit vraisemblablement d'une opération de cyber-espionnage de grande ampleur s'étalant de 2007 à janvier 2014. « Les principales cibles sont des administrations, des représentations diplomatiques et des  ambassades, des compagnies pétrolières, gazières et énergétiques, des laboratoires de recherche et des activistes » affirme l'éditeur. The Mask héberge en fait trois backdoors : careto, SGH et SBD. Dote de son propre driver pour intercepter et accéde auc fichiers en temps réel, le backdoor « écoute » les fichiers chiffrés ou pas, utilise des algorithmes PGP, utilise ds tracs de connexion, vole les clés de chiffrement, les configurations VPN, les clés SSH, récupère les conversations sur Skype, réalise des captures d'écrans... et fait des backup de documents avant même que l'utilisateur « victime » est ouvert le fichier ! Il attire les cyber-victimes via des sites imitant ceux de grands médias (Guardian, Washington Post...) La furtivité de ce backdoor est garantie par l'usage de certificats ...valides !

Kaspersky Lab qui fête cette année ses 10 ans de présence en France, rappelle qu'un tiers de ses effectifs travaille en R&D sur une technologie entièrement développée en interne. Cette approche garantit selon Tanguy de Coatpont, DG France, une meilleure intégration et des performances optimisées. L'éditeur décide de mettre l'accent cette année sur les cyber-menaces qui pèsent qu la e-réputation des entreprises. Selon IDC France qui reprend un chiffre tiré d'une étude de Ponemon, le coût d'une cyber-attaque s'élève en moyenne à 5,5 millions de dollars pour une entreprise américaine. Un chiffre qui ne signifie pas grand chose tant les cyber-attaques lorsqu'elles sont détectées, sont variées. Pour les RSSI, selon IDC, ce sont les pertes liées à la propriété intellectuelle qui arrivent en tête de leurs préoccupations. Afin de repondre aux nouvelles cyber-menaces, Kaspersky Lab a évoqué lors d'un séminaire sur la e-réputation le 12 mars dernier, sa stratégie Services basée, sur son offre cloud KSN (Kaspersky Security Network). Cette nouvelle offre repose sur une palette de services jusqu'ici réservés aux usages internes des chercheurs. Afin de mieux anticiper les cyber-menaces, ces services d'anticipation des cyber-menaces et de documentation enrichie sélectionnent des données mises a jour heure par heure. Les sujets sont divers : nouvelles APT (attaques ciblés), niveau de e-Réputation des marques, bulletins de « reporting » sur les cyber-menaces et cyber-incidents récents, rappels sur les derniers faits en matière de cyber-espionnage...

L'éditeur russe développe ausssi l'expertise interne de ses chercheurs vers les entreprises (clientes ou pas) en proposant des modules de formation en cyber-sécurité : comprendre les cyber-menaces, se former au cyber-forensic, s'adapter aux cyber-menaces en environnement financier, tout savoir sur les APT, réaliser des analyses de malwares et du reverse engeniering.

Jean Philippe Bichard

https://www.securelist.com/en/blog/208214213/The_Icefog_APT_Hits_US_Targets_With_Java_Backdoor

https://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires