Articles

Kaspersky Lab révèle l’opération « NetTraveler », une campagne internationale de cyberespionnage ciblant les administrations et les organismes de recherche

Un ensemble d’outils malveillants infecte 350 victimes pour leur dérober des données et les espionner

Rueil-Malmaison, le 4 juin 2013 – L’équipe d’experts de Kaspersky Lab publie aujourd’hui une nouvelle étude concernant NetTraveler, une famille de programmes malveillants utilisés par des auteurs d’attaques de type « APT », ou « Menace Persistente Avancée »,  pour toucher plus de 350 victimes dans 40 pays.

Le groupe NetTraveler a ainsi infecté de multiples établissements du secteur public comme privé : administrations, ambassades, compagnies pétrolières et gazières, centres de recherche, sous-traitants de la défense, organisations militantes…

Selon le rapport de Kaspersky Lab, cette menace est active depuis 2004, cependant le pic d’activité a été observé sur la période 2010-2013. Dernièrement, les principaux centres d’intérêt de NetTraveler en matière de cyberespionnage incluent plusieurs secteurs dont l’exploration spatiale, les nanotechnologies, la production d’énergie (notamment nucléaire), les lasers, la médecine et les télécommunications.

Méthodes d’infection

· Les victimes ont été touchées par la méthode du « spear-phishing », c’est-à-dire l’envoi d’e-mails ciblés accompagnés de pièces jointes Microsoft Office malveillantes exploitant deux vulnérabilités bien connues (CVE-2012-0158 et CVE-2010-3333). Bien que Microsoft ait déjà publié des correctifs pour ces failles, celles-ci sont encore utilisées dans des attaques ciblées…

· Les titres des pièces jointes malveillantes reflètent la personnalisation des attaques NetTraveler en fonction des cibles visées. Exemples :

o   Army Cyber Security Policy 2013.doc

o   Report – Asia Defense Spending Boom.doc

o   Activity Details.doc

o   His Holiness the Dalai Lama’s visit to Switzerland day 4

o   Freedom of Speech.doc

Vol et exfiltration de données

· Au cours de leur analyse, les experts de Kaspersky Lab ont pu obtenir les journaux d’infection de plusieurs des serveurs de commande et de contrôle (C&C) de NetTraveler. Ces serveurs sont employés pour introduire des malwares supplémentaires sur les machines infectées et exfiltrer les données volées. Les experts de Kaspersky Lab estiment à plus de 22 gigaoctets le volume de données volées stockées sur les serveurs C&C de NetTraveler.

· Les données exfiltrées depuis les machines infectées sont généralement des listes de fichiers, des enregistrements de frappes, ainsi que divers types de fichiers (PDF, feuilles Excel, documents Word…). En outre, le kit NetTraveler a pu installer un malware supplémentaire sous la forme d’une « backdoor », pouvant être personnalisée pour voler d’autres types d’informations sensibles, telles que les détails de configuration d’une application ou bien des fichiers de CAO.

Statistiques mondiales de l’infection

· D’après l’analyse par Kaspersky Lab des données C&C de NetTraveler, on dénombre au total 350 victimes dans une quarantaine de pays dont les Etats-Unis, Canada, Royaume-Uni, Russie, Chili, Maroc, Grèce, Belgique, Autriche, Ukraine, Lituanie, Bélarus, Australie, Hong Kong, Japon, Chine, Mongolie, Iran, Turquie, Inde, Pakistan, Corée du Sud, Thaïlande, Qatar, Kazakhstan, Jordanie, etc.

· En conjonction avec l’analyse des données C&C, les experts de Kaspersky Lab se sont appuyés sur le réseau KSN (Kaspersky Security Network) afin de rassembler des statistiques supplémentaires sur l’infection. Les dix principaux pays où des victimes ont été recensées par KSN sont, par ordre décroissant, la Mongolie, la Russie, l’Inde, le Kazakhstan, le Kirghizistan, la Chine, le Tadjikistan, la Corée du Sud, l’Espagne et l’Allemagne.

Autres observations

· Au cours de leur analyse de NetTraveler, les experts de Kaspersky Lab ont identifié six victimes infectées à la fois par NetTraveler et Red October, une autre opération de cyberespionnage étudiée en janvier 2013. Bien qu’aucun lien direct n’ait été observé entre ces deux menaces, le fait que certaines victimes soient atteintes par les deux campagnes indique que ces cibles de haut niveau sont l’objet de menaces multiples car la valeur des informations qu’elles détiennent est importante pour les auteurs des attaques.

 

Pour lire l’analyse complète de Kaspersky Lab, répertoriant notamment les indicateurs d’infection, les techniques de neutralisation ainsi que les caractéristiques détaillées de NetTraveler et de ses composants malveillants, consultez le site Securelist.

 

Retrouvez ce communiqué de presse sur le site de Kaspersky [ici]

Une nouvelle variante de backdoor pour Mac OS X utilisée dans des attaques APT

Selon l’étude réalisée par Costin Raiu, les attaques APT détectées consistent en l’envoi d’e-mails ciblant des activistes ouïghours et comportant en pièce jointe un fichier ZIP. Ce fichier renferme une photo au format JPG mais aussi un logiciel malveillant de type « backdoor ». Il s’agit en fait d’une nouvelle version, encore essentiellement non détectée, du backdoor MaControl, qui s’attaque aussi bien aux Mac à processeurs i386 que PowerPC (les systèmes de Kaspersky Lab détectent celle-ci sous l’appellation « Backdoor.OSX.MaControl.b »). Lorsque l’application est lancée, le logiciel malveillant s’installe dans le système et se connecte à un serveur de commande et de contrôle pour recevoir ses instructions. Le backdoor permet à celui qui le pilote de consulter la liste des fichiers, d’en transférer et, plus généralement, d’exécuter des commandes sur la machine infectée.

Alors que les Mac sont de plus en plus utilisés, notamment par des cibles de renom, nous prévoyons une augmentation en conséquence du nombre des attaques APT sous Mac OS X. Les attaques précédentes exploitaient des failles de MS Office (Exploit.MSWord.CVE-2009-0563.a.). Celle décrite ici emploie des techniques de « social engineering » pour inciter l’utilisateur à exécuter le logiciel malveillant. Tout comme dans les malwares sur PC, la combinaison d’exploitation de vulnérabilités et de techniques de « social engineering » est généralement la plus efficace. Il ne serait donc pas surprenant d’assister prochainement à un pic de ce type d’attaques.

[Source : http://newsroom.kaspersky.eu/fr]

Des failles Ms Word vieilles de 2 ans toujours exploitées

Les attaques faisant partie de campagnes ciblées utilisent couramment des documents dans leur stratagème d’ingénierie sociale. Ces documents servent à acheminer l’exploit au sein de l’ordinateur visé. Puisque les documents sont l’un des principaux vecteurs de transport d’exploits, Trend Micro a fait une analyse des types de fichiers utilisés.

Selon les données recueillies, le logiciel le plus exploité de la suite Ms Office est Ms Word, 63% des attaques menées avec un document Office sont faites avec un document Word. La grande raison pour cela est que deux des vulnérabilités les plus fiables exploitées par les attaquants sont CVE-2010-3333 et CVE-2012-0158, qui concernent MS Word.

La troisième place revient à l’exploitation de la CVE-2009-3129 qui se concerne le tableur Ms Excel. Ce dernier est utilisé par 27,15% des exploits de document.

Les exploits fiables ont une longue durée de vie, les attaquants préfèrent utiliser des vieilles vulnérabilités telles que la CVE-2010-3333 plutôt qu’avec des failles récentes mais peu fiables. L’utilisation généralisée d’une vulnérabilité qui a deux ans démontre que bon nombre d’organisations ne mettent pas à jour leur suite bureautique.

Retrouvez l’article d’origine et les graphiques associés [ici]

Les attaques ciblées ne visent plus uniquement les grandes organisations

Un nouveau rapport de Symantec montre que, si le nombre de vulnérabilités a diminué de 20%, le nombre d’attaques malveillantes a continué à monter en flèche avec une augmentation de 81%.

En outre, les violations de données sont en augmentation, et les attaquants se concentrent sur les menaces mobiles.

Le nombre de logiciels malveillants uniques est passé à 403 millions d’exemplaires en 2011.

Les attaques « avancées »

Traditionnellement, les attaques dites « avancées » se concentraient sur les organismes publics et visaient les personnels clés. Cette tendance tend à se modifier puisqu’aujourd’hui les attaques ciblées touchent des organisations de toutes tailles et toutes les catégories de personnel.

Plus de 50% de ces attaques ont visé des organismes de moins de 2500 employés, et près de 18% de moins de 250 salariés. Plusieurs raisons justifient le ciblage des sociétés modestes en taille, notamment du fait qu’elles font parties des partenaires des grandes entreprises et qu’elles sont moins bien protégées.

Selon les chiffres fournis dans le rapport, les attaques ciblées sont passées de 77 attaques par jour en 2010 à 82 par jour en 2011.

Ces attaques utilisent surtout l’ingénierie sociale et les logiciels malveillants dans le but de dérober des données sensibles.

Les employés ayant des fonctions dans les ressources humaines, les relations publiques ou les ventes sont une perspective intéressante pour les attaquants. Bien qu’ils n’aient pas un accès direct à l’information sensible recherchée, ces employées peuvent servir de rebond ou de contact. Une fois  compromis, les comptes de ces personnels pourront servir à propager des logiciels malveillants, ainsi, des mails acheminent des logiciels malveillants auront comme sources des personnes de confiances.

Les réseaux sociaux

Dans le même temps, le niveau de SPAM a diminué considérablement et le nombre de nouvelles vulnérabilités découvertes a baissé de 20%.

Ces statistiques démontrent un fait intéressant, les attaquants utilisent des outils effacent qui exploitent les vulnérabilités connues mais également le manque de réactivité des acteurs pour mettre leurs systèmes à jour.

Le SPAM se réduit mais les cybercriminels se tournent de plus en plus vers les réseaux sociaux pour lancer les attaques, le potentiel de propagation y est très fort. La nature même des réseaux sociaux invitent l’utilisateur à être à l’aise. Ce dernier suppose alors, à tort, qu’il n’y a pas de risque et on remarquera une baisse de vigilance.

Les fuites d’informations personnelles

Environ 1,1 millions d’identités ont été volées en moyenne par une fuite de données en 2011, soit une augmentation spectaculaire par rapport à ce qui été observé les autres années. Les incidents liés au piratage ont posé les plus grandes menaces, avec 187 millions d’identités exposées en 2011. Cependant, la cause la plus fréquente de fuite de données est la perte d’un support de stockage ou de transmission contenant des informations personnelles : ordinateur, smartphone, disque dur externe, clé USB…18,5 millions d’identités ont été impactées par des fuites de ce type.

La menace mobile

Etant donné que les tablettes et les smartphones continuent de mieux se vendre que les PC, des informations toujours de plus en plus sensibles seront disponibles sur les appareils mobiles. Les travailleurs apportent leurs smartphones et tablettes dans l’environnement d’entreprise tandis que les équipes IT ne parviennent pas à les gérer et à les sécuriser. Cela peut conduire à une augmentation des violations de données lors de la perte d’appareils mobiles ce qui représente un risque pour l’information de l’entreprise si cette information n’est pas correctement protégée. Des recherches récentes de Symantec montrent que 50% des téléphones perdus ne seront pas retournés et 96% (y compris ceux qui sont retournés) auront leur contenu lu.

Les vulnérabilités sur mobiles ont augmenté de 93% 2011. Dans le même temps, il y avait une augmentation des menaces ciblant le système d’exploitation Android. Avec le nombre de vulnérabilités dans l’espace mobile en hausse et les auteurs de malwares n’ont pas seulement transférés les malwares existant sur les appareils mobiles, mais ont créé des logiciels malveillants mobiles spécifiques, adaptés aux possibilités uniques des mobiles (comme par exemple l’exploitation des SMS surtaxés). 2011 a été la première année où les logiciels malveillants mobiles ont représenté une menace tangible pour les entreprises et les consommateurs.

Retrouvez le rapport complet [ici]

[Source]

Détecter et prévenir le risque face aux menaces APT grâce à Cyberprotect

Définition

Ciblées et furtives, le principe des attaques dites APT  est de s’infiltrer dans le Système d’Information (SI) d’un organisme dans le but de voler des données confidentielles.

Les attaques sont longues dans la durée et combinent plusieurs modes opératoires afin de contourner les outils de sécurité mis en place. Les attaquants disposent de ressources importantes.

Les étapes pour mener à bien une attaque de ce type sont les suivantes :

  1. Définition de l’objectif
  2. Analyse et prise d’information sur la cible
  3. Exfiltration des données
  4. Maintien de l’accès au Système d’Information

L’utilisation de plusieurs outils, techniques, méthodes de ciblage permettent d’atteindre la cible, la compromettre et maintenir l’accès. : Malwares, tentatives d’intrusion, ingénierie sociale, scans réseau, exploitation de vulnérabilité logiciel…

L’attaque se veut définie comme « low & slow », lentement mais surement, afin de passer sous les seuils d’alertes des outils de sécurité classique.

L’objectif est défini par avance, ce qui est l’une des différences avec le piratage dit « opportuniste » où selon les vulnérabilités découvertes, on exploite petit à petit les failles sans vraiment avoir d’objectif à atteindre. Les attaquants sont en plus qualifiés, motivés, organisés et financés.

 

Recommandations

Lors de son Forum annuel 2011, le Cert-IST (Computer Emergency Response Team – Industrie Service et Tertiaire) a fait une présentation sur les attaques APT.

Dans leur document de présentation http://www.cert-ist.com/documents/Document_Cert-IST_000392.pdf les recommandations du Cert-IST pour se prémunir des attaques APT précisaient qu’ « à défaut de pouvoir bloquer les APT, il faut pouvoir freiner les attaquants ». Trois points nécessitent une attention particulière pour faire face à ce type d’attaque.

  • Maintenir à jour les systèmes :
    • Systèmes et applications (Java, IE, etc.)
    • Protection périmétriques (Firewall, IDS, IPS, DLP, etc.)
    • Solutions antivirales
  • Préparer les administrateurs et les équipes de sécurité à :
    • Collecter des informations (les logs)
    • Remonter aussi toutes anomalies
    • Détecter les connexions à des heures inhabituelles
    • Surveiller périodiquement les systèmes d’information
    • Analyser les anomalies récurrentes
  • Sensibiliser les utilisateurs à :
    • Etre vigilant
    • Remonter toutes anomalies
    • Alerter en cas de compte bloqué
    • Signaler tout problème à l’ouverture d’un fichier (PDF ou autres)
    • Adopter les bonnes pratiques de sécurité.

Il est facile de constater que les outils de sécurité traditionnels (Antivirus, Pare-feu, IDS…) ne suffisent plus, à eux seuls, pour garantir la sécurité d’un Système d’Information.

 

Tendance 2012

Dans ce contexte, Cyberprotect répond aux recommandations émises par le Cert-IST face aux nouvelles menaces, grâce à l’analyse de l’état de santé du parc informatique de l’entreprise mais également par l’analyse en continue de son réseau.

 

A propos de

 

Cyberprotect (http://www.cyberprotect.fr)

Cyberprotect protège et assure le patrimoine numérique de l’entreprise, en associant un service de surveillance innovant basé sur la gestion du risque et une assurance spécifique contre les cyber-risques.

Cyberprotect est soutenu par :

  • Le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN)
  • L’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)
  • L’Institut de Science Financière et d’Assurances
  • Le ministère de l’Enseignement Supérieur et de la Recherche
  • Le Centre Européen d’Entreprise et d’Innovation

Cyberprotect est édité par SDN International – Security of Digital Networks International – société indépendante fondée en 2005 par des experts en sécurité informatique, en cybercriminalité et en assurance pour protéger et assurer le patrimoine numérique des entreprises.

 

Cert-IST (http://www.cert-ist.com)

Le Cert-IST (Computer Emergency Response Team – Industrie, Services et Tertiaire) est une Association Loi 1901, qui a pour vocation d’assurer à ses adhérents des services de prévention des risques et d’assistance au traitement d’incidents. Centre d’alerte et de réaction aux attaques informatiques destiné aux entreprises françaises, le Cert-IST est reconnu au niveau national et international. Il est membre du FIRST et coopère activement avec les autres CERT aux niveaux français, européen et mondial.

Retrouvez les différentes présentations du Forum Cert-IST sur http://www.cert-ist.com/fra/ressources/PresseFR/menuevenementscertist